UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES...
Transcript of UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES...
UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES
“UNIANDES”
FACULTAD DE SISTEMAS MERCANTILES
CARRERA DE SISTEMAS
ARTÍCULO CIENTÍFICO PREVIO A LA OBTENCIÓN DEL TÍTULO DE
INGENIERA EN SISTEMAS E INFORMÁTICA
TEMA: ANÁLISIS DE LA ESTRUCTURA BÁSICA DE LOS CPD EN LAS
PYMES COMERCIALES DEL CANTÓN SANTO DOMINGO
AUTORA: CALVACHE GALÁRRAGA CINTIA ESTEFANIA
TUTORA: CUENCA DÍAZ MARITZA MILAGROS. DRA. C.
SANTO DOMINGO-ECUADOR
2018
1
Título: ANÁLISIS DE LA ESTRUCTURA BÁSICA DE LOS CPD EN LAS PYMES
COMERCIALES DEL CANTÓN SANTO DOMINGO
Resumen
El desarrollo tecnológico cada día está más ligado al éxito empresarial, los
administradores de las pequeñas y medianas empresas (PyMES) deben estar conscientes
de la posibilidad de proteger su información utilizando herramientas tecnológicas
potentes que eviten la pérdida, así como la manipulación por agentes externos, en tal
sentido se reconoce la significación de los Centros de Procesamiento de Datos (CPD), sin
embargo estos podrán garantizar sus funciones si cumplen con los requerimientos
establecidos atendiendo a la seguridad física, de red, lógica y la seguridad informática.
Desde esta perspectiva se desarrolló un estudio dirigido a conocer cómo están
estructurados los CPD de las PyMES, mediante la aplicación de encuestas a gerentes, a
una muestra representativa del cantón Santo Domingo, cuyos resultados se comprobaron
con entrevistas a técnicos informáticos y la realización de observaciones en dos empresas
seleccionadas para un estudio de caso. Los resultados encontrados revelan la necesidad
de que las empresas garanticen no solo la presencia de los CPD, sino también la calidad
de su estructura básica.
Palabras claves: Estructura básica de un CPD, Centro de Procesamiento de Datos (CPD),
Seguridad de la Información, Vulnerabilidad de la Información, Información y
Manipulación de datos.
Title: ANALYSIS OF THE BASIC STRUCTURE OF THE CPD IN THE
COMMERCIAL SMES OF THE SANTO DOMINGO CANTON
Abstract
The technological development every day is more linked to business success,
administrators from small and medium-sized enterprises (SMEs) must be aware about
possibility of protecting their information using powerful technological tools that avoid
loss, as well as the manipulation by external agents, in this sense the significance of the
Data Processing Centers (DPC) is recognized, however, they can guarantee their
functions if they comply with the established requirements, taking into account physical
security, network, logic and computer security. From this perspective, a study was
developed aimed at knowing how the SMEs CPDs are structured, through the application
of surveys to managers, to a representative sample from Santo Domingo Canton, whose
2
results were verified with interviews with computer technicians and the realization of
observations in two companies selected for a case study. The results reveal the need for
companies to guarantee not only the presence of CPDs, but also the quality of their basic
structure.
Keywords: Basic Structure of a Data Center, Data Processing Center (CPD), Information
Security, Information Vulnerability, Information and Data Manipulation.
Introducción
En la actualidad los incidentes y las amenazas relacionados con la perdida de
información en las empresas se incrementan, por ello se debe tomar en cuenta la
evaluación periódica de los equipos tecnológicos que cumplen estas funciones, tales son
los casos de los Centros de Procesamiento de Datos (en adelante CPD) que constituyen
un punto de encuentro entre administración y desarrollo tecnológico en función de
garantizar el crecimiento empresarial.
El área administrativa es una fuente de información y el centro fundamental de toda
empresa, es donde se genera un grupo de datos relacionados con la gestión administrativa
y financiera que pueden volverse vulnerables y correr el riesgo de pérdida, plagios,
cambios o extracción de datos; situación que puede generar serios problemas, como
consecuencia de la inseguridad y poco cuidado en la preservación de la información, de
allí la necesidad de que cada empresa cuente con un CPD.
La administración está asociada al proceso de recopilación y análisis de información
para lograr la máxima productividad, calidad y competitividad en la consecución de los
objetivos de la empresa, representa así un organismo social, en el que a través de la
coordinación de recursos se producen bienes y servicios dirigidos a satisfacer las
necesidades de la sociedad. (Munch, 2014)
En tal sentido, el referido proceso se sustenta en el de gestión de riesgo, que consiste
en una etapa de evaluación previa de los recursos del sistema de información, con el
propósito de garantizar el rigor y objetividad en el cumplimiento de su función. Para su
efectividad, el equipo responsable de la evaluación debe poseer un nivel adecuado de
formación y experiencia, así como disponer de una serie de recursos y medios
3
tecnológicos que permitan realizar su trabajo, de lo posible con el apoyo y compromiso
de la alta dirección. (Vieites, 2013)
El proceso de gestión de riesgo trata de definir un plan para la implementación de
algunas salvaguardias (físicas, técnicas, administrativas) o contramedidas en el sistema
informático y así disminuir la probabilidad de que se materialice una amenaza. Este
proceso depende de cómo se garantice la estructura del CPD.
Todos los centros de datos son únicos, mismos que comparten una misma función la
de proteger la información más importante de una empresa, un CPD debe ser un
entorno especializado que cuide la información, equipos, y la propiedad intelectual
más valiosa de una empresa, viéndolo desde cualquier perspectiva actual un CPD
(Centro de Procesamiento de Datos) es considerado como el cerebro de una empresa.
(Lema, 2018, pág. 1)
Así mismo, el CPD implica mucho más que alojar un espacio abierto en el que grupos
técnicos instalan y gestionan equipos, aplicando sus propias metodologías y
procedimientos. Requiere de un conjunto integrado de procesos y procedimientos que
implican el desempeño de los grupos de Tecnología Informática (TI). El CPD se rige por
decisiones estratégicas y de diseño para la gestión y control que ejecutan los operadores.
(TSO, 2016)
Es por eso que se debe implementar un Sistema de Soporte de Decisión (DSS), que
suele utilizarse principalmente para decisiones estratégicas y tácticas en la gestión a nivel
superior, donde las situaciones consideradas como problemáticas, aun cuando se
presenten con baja frecuencia, pueden tener consecuencias potenciales altas; debido a
esto la organización debe enfocarse a encontrar la solución y obtener resultados benéficos
a largo plazo, lo cual podrá realizarse en dependencia a la estructura del CPD.
El Sistema de Soporte de Decisión integra la información gerencial que combina
modelos de análisis y datos para resolver problemas semi-estructurados y no
estructurados involucrando al usuario a través de una interfaz amigable. Su propósito
principal es dar apoyo y mejorar el proceso de toma de decisiones a lo largo de las etapas
que lo conforman y que caracterizan a continuación.
4
Inteligencia: se recopila información para identificar problemas que ocurren en la
organización.
Diseño: se conciben las posibles alternativas al problema en la organización.
Selección: se elige alternativa entre las posibles soluciones.
Implementación: se ejecuta la decisión e informa el progreso de la misma.
La disponibilidad de un CPD está clasificado por el Uptime Institute, que establece la
norma TIA492, que se fija en 4 categorías que denominadas Tier, de menor a mayor nivel:
Tier1, Tier2, Tier3 y Tier4. (Giménez, 2014). El Uptime Institute es un consorcio de
empresas que le ayuda a sus miembros a evitar tiempos caídos; el objetivo principal es
optimizar la inversión de infraestructura del sitio y obtener un nivel de profesional más
alto en operaciones y prácticas para asegurar el funcionamiento continuo de sus
instalaciones. (Landires, 2015)
El hecho de no contar con herramientas adecuadas para el monitoreo y la
administración de la estructura genera que las aplicaciones productivas no funcionen
como se requiere o incluso no detecten fallas a tiempo y como consecuencia se tengan
que enfrentar a inesperadas interrupciones en el funcionamiento de la infraestructura.
(Formoso, 2012)
La instalación del CPD y las peculiaridades de su arquitectura, estará en
correspondencia con el tipo de empresa, algo obvio, pues no es igual cuando se trata de
pequeñas o medianas empresas, pues difieren en cuanto al manejo de información que
existe. La arquitectura que debe tener un CPD incluye la protección con un sistema de
seguridad, puertas de seguridad, tarjeta de acceso, sistemas de vigilancia como cámaras
de infrarrojos, y sensores de movimiento. Se debe tomar en cuenta las tecnologías de
protección al momento de habilitar una estructura de CPD, tomándose como referencia
al modelo OSI, que se compone de siete capas (aplicaciones, presentación, sesión,
transporte, red, enlace de datos y físicos). (Albacete, 2014)
Para garantizar el buen funcionamiento y preservación de la arquitectura de los CPD se
debe tomar en cuenta la seguridad desde diferentes perspectivas:
Seguridad Física: un lugar apropiado para la instalación de los equipos teniendo
en cuenta detalles como la humedad, la vulnerabilidad estructural, presupone la
climatización para evitar el sobrecalentamiento de los equipos, luminarias,
puertas, energía eléctrica, sistemas de seguridad como detección de incendios y
sistemas de monitorización remotos.
5
Seguridad de Red: es la práctica de prevenir y proteger contra la intrusión no
autorizada en redes corporativas.
Seguridad Lógica: controles de acceso, replicación de datos, y posibles ataques
externos.
Sin embargo también es necesario atender la seguridad informática, que consiste en
asegurar que los recursos del sistema de información de una empresa se utilicen de la
manera que se decidió y que el acceso a la información allí contenida así como su
modificación solo sea posible a las personas que se encuentren acreditadas y dentro de
los límites de su autorización.
Existen diferentes servicios de seguridad que dependen unos de otros jerárquicamente,
por eso si no existe el primero no puede aplicarse el siguiente. A continuación se describe
los mismos.
Disponibilidad: se trata de la capacidad de un servicio, de unos datos o de un sistema a
ser accesible y utilizable por los usuarios o procesos autorizados cuando lo requieran.
También se refiere a la capacidad de que la información pueda ser recuperada en el
momento que se necesite.
Confidencialidad: se trata de la cualidad que debe poseer un documento o archivo para
que éste solo se entienda de manera comprensible o sea leído por la persona o sistema
que esté autorizado. Un ejemplo de control de la confidencialidad sería el uso cifrado de
clave simétrica en el intercambio de mensajes.
Integridad: es la cualidad que posee un documento o archivo que no ha sido alterado y
que además permite comprobar que no se ha producido manipulación alguna en el
documento original. (Bolivia, 2019)
Según Broy de la Cruz (2013) los equipos que se necesitan para la estructura básica de
un CPD son los siguientes:
Rack: es un estante el cual tiene por finalidad alojar los equipos informáticos y de
comunicaciones.
Switch: su principal propósito es el de resolver problemas de rendimiento en la
red informática.
Patch panel: se lo utiliza para organizar las conexiones de red.
Servidor: provee servicios a otros equipos y se comunica mediante la red
informática.
Ups: ayuda a los equipos a seguir funcionando con normalidad tras un corte de
energía.
6
Además de los equipos referidos los CPD deben contar con el firewall, que es un
sistema de defensa que forma parte de una red de trabajo y está diseñado para denegar o
permitir el acceso a ella basándose a reglas configurables y otros criterios predefinidos.
(Garcia, 2013)
Las empresas deben utilizar un firewall, que es una política de protección a la
información que proporciona un análisis a internet sobre la imposibilidad de encriptarse
datos vulnerables al sistema, con lo que se garantiza mayor seguridad a la estructura de
red que tenga la empresa. La red informática es un enlace a través del cual dos o más
dispositivos se comunican mediante medios físicos o inalámbricos con el fin de
intercambiar datos, ya sea para hacer funcionar otros dispositivos o para almacenar
información. (Peña, 2013)
Es de suma importancia contar con un CPD, ya que es lugar donde se encripta toda la
información y datos procesados diariamente en las PyMES, así se evita el riesgo de
ataques por parte de hackers. De igual modo los datos almacenados pueden ser objeto de
análisis para reconocer el estado financiero de la empresa: las ganancias y pérdidas, con
lo que se puede realizar una proyección de datos.
Tomando en cuenta lo anteriormente señalado la existencia de un CPD en una empresa
requiere de una seria inversión, relacionada con costos de obra civil, de energía, capaces
de resistir la presencia de algunos problemas ambientales, así como sistemas informáticos
actualizados para poder contar con una infraestructura confiable y tolerante a fallos.
Diseñar un centro de procesamiento de datos es complejo pero sin embargo necesita de
un proceso de análisis y planeación de requerimientos funcionales.
Existen estudios que revelan la significación de los CPD, entre los que merece la pena
comentar el realizado en la Universidad Carlos III de Madrid-España, pues determinó que
el criterio para su diseño debe sustentarse en la disponibilidad, el rendimiento y la
seguridad, lo que conlleva a un sobredimensionamiento de todos los componentes del
CPD mediante un diseño dimensionado adecuadamente en todas sus infraestructuras,
además de mecanismos como la consolidación y la virtualización de servidores. (Castro
Tatiana-Acuña, 2013)
El Centro de Procesamiento de Datos (CPD) de BBVA Bancomer construido en la
Zona del Lago Esmeralda en el Estado de México, constituye un valioso referente
7
mundial, el 29 de septiembre del 2016, recibió una certificación: Tier IV Gold en
sostenibilidad operativa de los CPDs 1 y 2 debido a sus características de seguridad y
fiabilidad, tanto en su construcción como en sus procedimientos operativos. El mismo,
en calidad de sede tecnológica, fue creado bajo el concepto de solución integral, modular,
escalable, flexible y segura, y por ello, recibió las certificaciones del Uptime Institute en
diseño, construcción y sustentabilidad, reconociendo por tanto su excelencia para soportar
las funciones de negocios de BBVA. Con ello se demostró que el CPD es la base para las
planificaciones y tomas de decisiones a corto y largo plazo, por lo que requiere de una
arquitectura de alto nivel y sistemas de ingeniería de vanguardia, con personal altamente
capacitado. (Argentaria, 2016)
Por otra parte, constituye una valiosa referencia el proyecto de investigación llevado a
cabo en el Centro Comercial La Unión de Guayaquil-Ecuador, que requería de un CPD
que permitiera operaciones seguras y prestara los servicios necesarios para desarrollar los
negocios de sus socios y clientes. Se enfatizó en la necesidad de atender de manera
especial la planificación del área física, es decir la mejor ubicación para el CPD, así como
los diferentes equipos de comunicación que requieren, el estudio del sistema de energía
eléctrica, la climatización y el sistema de control acceso y monitoreo. (Cedeño, 2015)
De igual modo en la Ciudad de Ambato se realizó un proyecto de investigación en la
Cooperativa de Ahorro y Crédito Indígena “SAC Ltda” que también demostró la
significación del CPD, el cual se constituye en una de las áreas más importante, en tal
sentido se propuso el desarrollo de una aplicación web que permitía monitorear el centro
de procesamiento mediante los dispositivos instalados, para así disponer de un control
relevante haciendo que el tiempo de ejecución de las acciones a tomar en función al
problema presentado sea eficiente y oportuno. (Urrutia Urrutia, 2015)
Otro ejemplo que demuestra la significación de los CPD es el hecho ocurrido en la
Empresa Movistar el 12 de mayo del 2017, cuando la página sufrió un ataque de hackers,
algo que no solo afectó a Ecuador sino, también a otros países donde Movistar opera,
donde se detectó un incidente de ciberseguridad que ha afectado los PCs de algunos
empleados de la red corporativa interna de la compañía, se trataba de un virus tipo
ransomware, que secuestra los datos y pide dinero para liberar el sistema. Se evidencia
que la seguridad informática es un tema que muchas empresas descuidan, sin considerar
el alto impacto que esto puede provocar. En correspondencia con lo anterior es evidente
8
lo fundamental que es tener una estructura adecuada de CPD, tanto para las empresas
pequeñas como para las medianas; la administración debe tomar conciencia de la
necesidad y tener en cuenta las medidas que piden los encargados del área Tecnología de
la Información y la Comunicación (TIC). (Universo, 2017)
En consecuencia, en el artículo se exponen los resultados de una investigación que
permitió conocer el estado de actual de los CPD en las PyMES de Santo Domingo para
identificar las principales falencias que presentan en este sentido, con el propósito de
demostrar la importancia de invertir en su creación y perfeccionamiento, debido a que el
crecimiento empresarial y por tanto social está asociado a la protección de los datos de
cada empresa.
Materiales y métodos
La investigación desarrollada siguió un enfoque cuali-cuantitativo que permitió
expresar con dimensión numérica el estado de la estructura de los CPD de las PyMES
estudiadas y a partir de la interpretación de estos datos ofrecer una caracterización; con
el propósito de demostrar así los posibles riesgos a que se someten las empresas mediante
un análisis crítico de sus condiciones tecnológicas.
Se siguió un diseño no experimental, ya que el alcance de la investigación fue
fundamentalmente descriptivo y explicativo sustentado en la aplicación de métodos
teóricos y prácticos. Los primeros en calidad de procesos del pensamiento estuvieron
presente durante todo el proceso investigativo y permitieron analizar los resultados
encontrados mediante la investigación de campo, en la cual se realizaron encuestas,
entrevistas, también se implementó el método de la observación.
Los instrumentos utilizados para la aplicación de la encuesta, entrevista y la
observación se elaboraron tomando en cuenta los componentes que garantizan la
seguridad de los CPD desde las siguientes perspectivas:
Seguridad Física: se observó la ubicación del CPD, el control de acceso, el sistema
de vigilancia, los sistemas contra incendios y climatización. Aspectos que garantizan la
protección ante desastres naturales u ocasionadas por el hombre. También incluye,
disturbios, sabotajes internos y externos.
9
Seguridad de la Red: se observó cómo tienen estructurados los cables, router, switch
que permiten defender la red frente a las amenazas. Incluye además el uso de
contramedidas físicas para proteger la infraestructura de red contra el acceso no
autorizado, el uso inadecuado, la modificación y destrucción.
Seguridad Lógica: considera el uso de firewall, antivirus, el sistema de detención de
intrusos y el sistema de análisis de seguridad activos.
Se tomó como referencia una población de 54 PyMES comerciales ubicadas en el
Cantón Santo Domingo, registradas en el SRI, desde el mes enero del 2017. Siguiendo
el muestreo probabilístico se seleccionaron 44 empresas de las cuales se obtuvo
información mediante la aplicación de encuestas a sus respectivos gerentes y entrevistas
a los técnicos de plantas que las atienden.
Para comprobar y profundizar en los resultados obtenidos mediante la encuesta y la
entrevista se utilizó el estudio de caso, sustentado en una observación estructurada que
permitió constatar el estado del CPD. Se estudiaron dos casos (PyMES de minimarket
(A) y otra de venta de equipamiento y materiales de construcción, ferreterías (B)
seleccionadas a partir del muestreo no probabilístico, por conveniencia, considerando
la apertura para el desarrollo de la investigación y los resultados en su actividad
productiva, de este modo una es considerada como exitosa y la otra con limitaciones.
Resultados
Los resultados más reveladores encontrados al acopiar la información mediante la
investigación de campo realizada a administradores de las PyMES comerciales se
presentan a través de los siguientes gráficos elaborados, tomando en cuenta los
principales indicadores que se determinaron para el estudio.
10
Gráfico 3 Equipos técnicos que usted considere que son importantes para una estructura básica de un CPD
Elaborado por: Calvache Cintia
Fuente: Encuesta a gerentes
55%
36%
9%
0%
10%
20%
30%
40%
50%
60%
Seguridad Física Seguridad De Red Seguridad Lógica
Seguridad Física Seguridad De Red Seguridad Lógica
Gráfico 1 Reconocimiento sobre la necesidad del
control de información
Elaborado por: Calvache Cintia
Fuente: Encuesta a gerentes
Gráfico 2 Conocimiento de los equipos técnicos
Elaborado por: Calvache Cintia
Fuente: Encuesta a gerentes
100%
0%0%
20%
40%
60%
80%
100%
Si No
Si No
18%
82%
0%
20%
40%
60%
80%
100%
Si No
Si No
11
Gráfico 4 Valoración ofrecida por los gerentes de la estructura de su CPD
Elaborado por: Calvache Cintia
Fuente: Encuesta a gerentes
Gráfico 5 Reconocimiento de los riesgos
Elaborado por: Calvache Cintia
Fuente: Encuestas a gerentes
Los resultados de la entrevista realizada permitieron comprobar que no todas las
PyMES cuentan con un personal informático de planta y que la estructura de sus CPD no
está basada en ninguna normativa, pues la mayoría de los gerentes no considera que esto
le garantiza la protección de datos e información y que solo en pocas ocasiones tienen
inconvenientes para guardar información.
En consecuencia, se observó cómo regularidad que son muy pocas las PyMES que
cuentan con una estructura adecuada de CPD, son diversos los factores pero el más
específico es que no se cuenta con personal de planta que brinde asesoría con respecto a
los temas antes mencionados.
0%
20%
40% 40%
0%0%
5%
10%
15%
20%
25%
30%
35%
40%
45%
Muy Bueno Bueno Regular Malo Muy Malo
Muy Bueno Bueno Regular Malo Muy Malo
18%
82%
0%
20%
40%
60%
80%
100%
Si No
Si No
12
Tabla 1 Tabla comparativa
PyMES DE MINIMARKET(A)
PyMES DE VENTA
EQUIPAMIENTO Y MATERIALES
DE CONSTRUCCIÓN,
FERRETERÍAS (B)
La estructura de la red es estrella
Tienen un servidor para cada
servicio que es correos, pagina web,
facturación y administración
Cuenta con la protección de un
firewall
Cámaras de seguridad en cada área
de trabajo incluyendo TIC´S
Cables con canaletas, estructurado
Detector de incendios
Seguridad biométrica a la entrada
del área de TIC´S
Control de llaves de los gabinetes
Sistema eléctrico UPS redundancia
eléctrica
Control de temperatura y humedad
exacto para el CPD no tenga ningún
problema al trabajar
Estructura de red estrella
Cuenta con 2 servidores uno es para
la base de datos y el otro de la
facturación electrónica
No cuenta con un firewall
Cuenta con un antivirus que es
específico para servidores y
antivirus para los correos
electrónicos
Cámaras de seguridad
Cables no son estructurados
No cuenta con seguridad biométrica
en el área de TIC´S
No cuentan con gabinetes
Falta de sistema de respaldo de
energía UPS eléctrico
Poco control en lo que es la
temperatura y la humedad por el
lugar que se encuentra ubicado el
CPD
Elaborado por: Calvache Cintia
Las empresas que se tomaron en cuenta para esta comparación son un minimarket (A)
y la otra es un almacén dedicado a la venta de equipamiento y materiales de construcción,
ferreterías (B) cada una de ellas realiza un diferente tipo de actividad. La empresa (A)
provee ventas de diferentes tipos de consumo es por ello que la información que se genera
es de suma importancia, cuenta con el personal específico para al área de TIC´S lo que
permite establecer las diferentes medidas de seguridad para la información, cabe recalcar
que también cuenta con el espacio físico adecuado para el funcionamiento de un CPD.
Por su parte la empresa (B) está empezando a tomar medidas de sobre la estructura de
CPD, no cuenta con mucha seguridad en su estructura, no obstante se pudo conocer que
están haciendo cambios para mejorar esta situación.
13
ESTRUCTURA GENERAL DE UN CPD
1. Servidor
2. Control de acceso
3. Sistema de vigilancia
4. Control de incendios
5. Climatización
6. Puerta biométrica
7. Sistemas de monitorización remotos
8. Replicación de datos
9. Ups
10. Estructura de cables
11. Router
12. Switch
13. Software
14. Infraestructura de red
15. Rack
16. Patch panel
17. Firewall
18. Sistema de detención de intrusos
19. Sistema de análisis de seguridad
Discusión
Los resultados expresan que las PyMES comerciales estudiadas dentro del Cantón
Santo Domingo cuentan con dificultades en todos los indicadores relacionados con la
estructura básica de un CPD, lo cual establece una alerta a las áreas administrativas sobre
la necesidad de tener un CPD que garantice un debido procesamiento interno, una correcta
gestión y la capacidad en analizar prioridades dentro de las PyMES, para dotar a la
empresa de una tecnología de protección de datos en función de desarrollar planes que
conlleven al éxito en un mercado cambiante.
El 100% de los gerentes de las PyMES reconocen que es importante mantener un
control sobre la información, de forma mensual o anual para evitar la pérdida de datos y
permitir que el área administrativa lleve un seguimiento y almacenamiento del flujo de
información y recursos que surge a partir de esto, sin embargo resulta contradictorio que
la conservación de información no se realiza con el medio tecnológico requerido.
El 82% no tiene un conocimiento de los equipos técnicos necesarios pero sí reconocen
la importancia de tener un control sobre la información. La causa de no dedicarle
prioridad a una estructura de CPD, está relacionada con la creencia de que sería muy
14
costoso y no toman en consideración que a largo plazo esta inversión evita pérdidas
considerables y en algunas ocasiones irrecuperables pues deben tomar en cuenta que el
crecimiento a futuro de la empresa debe realizarse sobre la base del análisis de los datos
almacenados. En consecuencia, deben invertir paulatinamente en una estructura completa
y así evitar daños a futuro porque nadie esta salvo de pérdidas desastres naturales
(inundaciones, terremotos, incendios) u otras provocadas por el hombre (robo de
información, manipulación de datos). Al respecto Vieites (2013) señala que se debe tener
una gestión de riesgo, que consiste en una etapa de evaluación previa de los recursos del
sistema de información, con el propósito de garantizar el rigor y objetividad en el
cumplimiento de su función.
Se pudo apreciar que los gerentes, dado su poco conocimiento sobre temas
informáticos, toman en cuenta primordialmente la seguridad física como prioridad, ya
que es la más visible, de este modo sí conocen la necesidad de garantizar estructura física
completa como son los: la ubicación del CPD, el control de acceso, el sistema de
vigilancia, los sistemas contra incendios y la climatización, así como la necesidad de
considerar que para la instalación de los equipos no tiene que existir humedad y
vulnerabilidad estructural.
No obstante, en la seguridad de la infraestructura de red los implementos más
importantes que deben tener las PyMES son: cableado, router, switch que permiten
defender la red frente a las amenazas se notaron dificultades, ya que el área administrativa
no invierte mucho en esta parte por lo que los equipos adquiridos no son los idóneos y se
adquieren solo pensando en lo que estiman justo y necesario, de este modo cuando se
daña uno de estos equipos no se cuentan con un repuesto para caso de emergencia; esta
situación trae como consecuencia que la empresa pierda incluso días sin laborar ya que
no podrían arreglar al instante el problema debido a la demora en la gestión de los trámites
para la adquisición de nuevos equipos, por eso es aconsejable tener repuestos para poder
solucionar de inmediato y no tener pérdidas.
Por lo general siempre es fundamental saber sobre la seguridad lógica de una empresa
o que es necesario para implementarla, pero los gerentes no toman en cuenta esta parte es
más, desconocen cuáles son consideradas como principales. La empresa al no contar con
una seguridad lógica puede dejar en la vulnerabilidad a la información, ya que esta se
encarga de filtrar las conexiones que ingresan a la red interna, evita que usuarios de
15
Internet que no han sido autorizados para ingresar a la red de la empresa puedan tener
acceso. Al respecto Peña (2013) enfatiza en lo significativo que es firewall como política
de protección a la información capaz de brindar un análisis a Internet y evitar que no
puedan encriptarse datos vulnerables al sistema, con lo que se garantiza mayor seguridad
a la estructura de red que tenga la empresa.
Las estructuras de CPD fueron valoradas por los propios gerentes de sus empresas
como regular y malas, lo cual puede considerarse como una potencialidad, pues sí
reconocen que presentan problemas en este sentido, sin embargo no hacen nada por
mejorar, lo cual se debe a la existencia de limitaciones económicas o a la falta de
conocimiento de los riesgos a los que se exponen.
Es cierto que el perfeccionamiento de las estructuras del CPD puede llevarlos a un
gasto considerable, pero útil debido a que pueden prevenir perdidas innecesarias en las
empresas. La conservación de la información y su posterior análisis permite que esta
pueda crecer y este crecimiento siempre estará asociado a la protección de la información,
lo cual debe constituirse en un objetivo, algo que Munch (2014) deja claro cuando refiere
que la administración está asociada al proceso de recopilación y análisis de información
para lograr la máxima productividad, calidad y competitividad en la consecución de los
objetivos de la empresa.
Lo anterior se confirma justamente desde la función esencial que cumple el CPD, que
permite llevar un control diario de todo el proceso productivo de una empresa mediante
el almacenamiento de la información que se genera, lo cual permite cada mes o año
comparar el nivel de ingresos que tiene la empresa y poder detectar logros o posibles
pérdidas y sobre esta base trazar estrategias deliberadas para asegurar un crecimiento
constante. Pero si no se cuenta con una estructura adecuada de un CPD se podría perder
la información, algo que afectaría en su desarrollo ocasionando un gran gasto por no
invertir desde el inicio.
El estudio de caso confirma los resultados de las encuestas, se pudo conocer que los
administradores de las empresas estudiadas saben qué peligro corre la información y
confirman además que han sufrido su pérdida en reiteradas ocasiones, situación que les
ha permitido tomar conciencia de lo fundamental que es tener una buena estructura básica
de un CPD.
16
El estudio realizado a las empresas (A) y (B) encaminado a valorar como llevan el
control de información, y el uso que le dan a la misma mediante la comparación entre
ambas permitió conocer que la empresa (B) cuenta con un encargado del CPD por tiempo
completo, sin embargo su CPD no posee una estructura específica, como tampoco una
seguridad de red y lógica, lo cual no garantiza la protección de datos e información, de
igual modo no llevan un control de mantenimiento de las maquinas, solo lo hacen si se
da algún problema. El encargado del área de TIC´S menciona que mediante una inversión
se puede mejorar la estructura del CPD, lo que evidencia que el área administrativa no
quiere invertir en este tipo de equipos dentro de la empresa, por lo que con frecuencia se
producen pérdidas de información y se exponen al ingreso de hackers, esta situación
incide en que la empresa se ve imposibilitada para trazar sus planes perspectivos sobre
bases sólidas.
La empresa (A) cuenta con una mayor protección al servidor, no tienen ningún
inconveniente en guardar información de la empresa, el tipo de seguridades con que
cuenta es la de encriptación de claves para resguardar su información, el encargado realiza
un respaldo diario por medio de una base de datos y semanal por archivos. Su tecnología
se renueva cada 5 años y se valora su CPD como bueno y funcional.
Los resultados encontrados confirman las ideas planteadas por Formorso (2012), quien
establece que la estructura básica de un CPD debe contar con herramientas adecuadas
para el monitoreo y la administración de la estructura que genera aplicaciones productivas
y que detectan fallas a tiempo.
Se pudo conocer que la empresa (A) estableció una estructura de red en estrella, que
hace más fácil administrar la información. Cuenta además con servidores donde se guarda
la información correspondiente, para su seguridad lógica poseen un firewall que protege
su red de cualquier intruso que quiera infiltrarse por medio de internet. Tienen ubicadas
cámaras de red en puntos estratégicos, para cuidar la integridad de las áreas impidiendo
el acceso de personas externas, además poseen una buena estructura de cable, en una se
encuentran los de la red y en otra los eléctricos.
Esta empresa ha tomado en cuenta la necesidad de tener un detector de incendios, que
es uno de los elementos de seguridad que no deben de pasarse por alto ya que puede
existir un corte circuito y poner en riesgo toda información. Para la protección del área
de TIC´S cuentan con una seguridad biométrica para evitar que personas no autorizadas
17
puedan ingresar a esta área, tienen un control de llaves de los gabinetes en el CPD y
cuentan además con la implementación de un sistema eléctrico (UPS) que garantiza el
suministro de electricidad después de un corte de luz.
Una situación diferente se aprecia en la empresa (B) que con su nuevo personal de
TIC´S solo tienen 2 servidores. La empresa tiene lo justo y lo necesario para que el CPD
esté funcionando, posee en la actualidad un servidor que es para la base de datos y otra
para la facturación electrónica, no cuenta con un firewall dejando en la vulnerabilidad a
la red. Llama la atención que solo utilizan antivirus para los servidores y los correos
electrónicos, tienen cámaras de seguridad pero muy pocas, solo para el área de TIC´S, en
cajas y parqueadero, los cables de red, eléctricos no tienen una buena estructura. El área
de TIC´S no cuenta con una seguridad biométrica ya que solo tienen una puerta con llaves,
esta situación permite que cualquier persona tenga la facilidad de ingresar a esta área, los
gabinetes no están protegidos no llevan el control de las llaves, no obstante la empresa
está tomando en cuenta las situaciones que se producen ante las suspensiones del fluido
y están estableciendo el uso de UPS.
De acuerdo con lo expresado anteriormente cada empresa tiene sus principales
métodos de protección, para que puedan generar un crecimiento diario y a largo plazo, de
este modo poder establecer una estructura básica constituye una prioridad. Los
encargados de TIC´S deben explicar el porqué es necesario comprar cada equipo,
especificando el valor útil que va a tener en la empresa y así los gerentes podrán tomar
las medidas adecuadas para que no exista ninguna filtración de personas externas o
perdida de información.
La comparación realizada permite advertir que la empresa que ha prestado atención al
perfeccionamiento de la estructura de su CPD, cuenta con mayores logros económicos y
perspectivas de desarrollo, mientras que la que presenta falencias tecnológicas se enfrenta
a dificultades continuas que limitan su crecimiento sobre bases sólidas, no obstante se
advierte el reconocimiento por parte de la gerencia la necesidad de perfeccionar su CPD.
18
Conclusiones
Santo Domingo es una ciudad de comercio formal e informal, por tanto existen una
serie de empresas que requieren proteger y tener mayor control de toda información
mediante la utilización de un CPD que las haga menos vulnerables a las pérdidas o actos
delictivos.
En el cantón Santo Domingo se ha observado que de las 44 PyMES comerciales no
cuentan con una estructura básica para que se considere un CPD, o el que posee no cuenta
con un equipamiento que le brinde la seguridad requerida. Se utilizan procedimientos
desactualizados para la protección y procesamiento de la información, de manera general
los propietarios desconocen la estructura que debe tener un CPD en cuanto a espacios,
componentes y equipos para que exista una mejor protección a la información atendiendo
a los estándares establecidos en las normas EIA/TIA568.
Al no contar con una estructura básica las PyMES pueden dejar en la vulnerabilidad
la seguridad informática expresada en la confiabilidad, integridad y disponibilidad; por
eso es necesario garantizar una infraestructura adecuada de los CPD.
En consecuencia, se confirmó que los resultados de las empresas están ligados a la
presencia de un CPD, por lo que se precisa que las PyMES inviertan en implementación
y perfeccionamiento.
19
Bibliografía
Albacete, J. F. (2014). Seguridad en equipos informáticos. IFCT0109. Málaga: IC.
Argentaria, B. B. (11 de Nov de 2016). BBVA. Obtenido de El Centro de Procesamiento
de Datos (CPD) de BBVA Bancomer recibe la máxima certificación Tier IV Gold
en sostenibilidad operativa: https://www.bbva.com/es/centro-procesamiento-
datos-cpd-bbva-bancomer-recibe-la-maxima-certificacion-tier-iv-gold-
sostenibilidad-operativa/
Bernal, C. (2016). Métodologia de la investigación. Bógota: Pearson.
Bolivia. (2019). Auditoria de tecnologias de la informacion y la comunicacion. Obtenido
de
https://www.contraloria.gob.bo/portal/Auditor%C3%ADa/Auditor%C3%ADasT
IC.aspx
Broy de la Cruz, H. (2013). Redes: Instalacion,administracion y soporte. Perú: Macro.
Castro Tatiana-Acuña, L. (2013). DISEÑO DE UN CENTRO DE. Leganés: Universidad
Carlos III de Madrid.
Cedeño, M. (2015). Diseño de un Centro de Procesamiento de Datos, de
aproximadamente 1000 m2, para certificación Tier II. Guayaquil(Ecuador):
ESCUELA SUPERIOR POLITÉCNICA DEL LITORAL.
Cid del Alma, M. R. (2011). Investigación Fundamental y Metodología. Nucalpan de
Juárez: Pearson.
Formoso, E. A.-O. (2012). Virtualizacion con VMWARE. Buenos Aires: Copyright.
Garcia, J. P.-M. (2013). Hacking y seguridad en internet. Colombia: Ra-ma.
Giménez, A. J. (2014). Seguridad en equipos informaticos. Malaga: IC Editorial.
Landires, B. M. (2015). Diseño de un Centro de Procesamiento de Datos desarrollando
la comparación entre la norma Tier del Uptime Institute vs. la norma
internacional ICREA STD-131. Guayaquil: ESCUELA SUPERIOR
POLITÉCNICA DEL LITORA.
20
Lema, V. (2018). Plan Informatico en base a parámetros da la norma. Santo Domingo-
Ecuador: Universidad Regional Autonoma de los Andes( Tesis de Grado).
Munch, L. (2014). Administracion gestión organizacional, enfoques y proceso
administrativo. México: Pearson.
Nel, Q. L. (2010). Metodología de la Investigación. Lima: Macro E.I.R.L.
Peña, C. (2013). Servicio Técnico Avanzado. Buenos Aires: Copyright.
TSO. (2016). Operacion del Servicio. Reino Unido: Crown Copyright.
Universo, E. (12 de Mayo de 2017). Virus informático ataca a Telefónica y a distintas
compañías del mundo. El Universo . Obtenido de Francisco Alvarado:
http://www.panchoalvarado.com/movistar-hackeado/
Urrutia Urrutia, E. P. (2015). Aplicación Web de monitoreo del centro de procesamiento
de datos mediante sensores de seguridad en la Cooperativa de Ahorro y Crédito
Indígena "SAC Ltda." de la Ciudad de Ambato. Ambato : Universidad Técnica de
Ambato .
Vieites, Á. G. (2013). Seguridad en Equipos Informáticos. Colombia: StarBook (España).