Condiciones físicas ITESRC Administración de la Función Informática

Condiciones físicas ITESRC Administración de la Función Informática
Fine Leonard H. Seguridad en Centros de Cómputo, Políticas y Procedimientos. Trillas.

Temas Designación del edificio, área y espacio
Energía eléctrica y tierra física Aire acondicionado y Humedad La iluminación y acústica Piso Falso Ductos y cableado de señal (periféricos) Seguridad

Edificio Estudio de suelo (sismos, contaminación).
Evitar riesgos de incendio, explosión, inundación, radiaciones, interferencia de radar. Seleccionar la parte más segura dentro del edificio para el centro de cómputo. Restringir el acceso al centro de computo. Se deben de usar materiales de construcción no combustibles. Recubrir las paredes con pintura lavable. Construir el mínimo de ventanas exteriores (o ninguna) a fin de evitar interferencias.

AREA Y ESPACIO Se recomienda que el área del centro de cómputo existan separadores de aluminio y cristal o cuartos independientes para la instalación de estaciones de trabajo. Para hacer una distribución adecuada se deberá poseer un plano del local elegido en escala 1:50. Es necesario plantear la secuencia de conexión de los equipos para los direccionamientos de los mismos. Las impresoras se deben instalar en un cuarto independiente junto con una estación de trabajo. Se debe tomar en cuenta espacio para futuro crecimiento.

La instalación eléctrica.
Debe ser un circuito exclusivo tomado de la subestación de la C. F. E. Usando cables de un solo tramo. Calculo de el calibre de los conductores para una caída máxima de voltaje de 2 %. Se debe construir una tierra física exclusiva para esta área, la cual se conecte a través de un cable con cubierta aislante al centro de carga del área de cómputo.

TIERRA FISICA Sé deberá elegir un jardín o lugar en donde exista humedad, en caso contrario es necesario colocar un ducto que aflore a la superficie para poder humedecer el fondo. Hacer un pozo de 3 metros de profundidad y 70 centímetros de diámetro. En el fondo se debe colocar una capa de 40 cm. De carbón mineral sobre la cual descansara una varilla copperweld. Encima del carbón se deberá agregar una capa de sal mineral de 5cm. Y otra de pedacería de aluminio y cobre de 40 cm. Cubriéndose después con tierra hasta superficie. Trifásico de 5 hilos ( 3 fases, neutro y tierra). Interruptores termomagneticos. Tubería metálica rígida,y conectores tipo industrial a prueba de agua y explosión. Se debe considerar una expansión del 50% como mínimo de la carga nominal.

LÍNEA ELÉCTRICA INDEPENDIENTE PARA SERVICIOS
El uso de herramientas eléctricas para la limpieza o cualquier otro trabajo (aspiradora, taladro, pulidora, etc.) dentro del área de computo o en sus proximidades, implica una linea eléctrica independiente a la linea de las computadoras para evitar las perturbaciones electromagnéticas.

PLACA CONTRA TRANSIENTES ELECTRONICOS
Transiente: pico voltaje de mas de 200%. Una placa de aluminio de 1 metro cuadrado, ahogada en concreto, debajo del piso falso y frente del tablero principal de distribución electrónico unida electrónicamente a este, y su conexión no excede de 1.5 metros de largo.

REGULADOR DE VOLTAJE Es indispensable +-10% 115 Volts +-6% 220 Volts.
Corrección para cualquier variación de voltaje o de carga entre 1 y 6 ciclos. UPS entrega voltaje: De amplitud y frecuencia controlada. Sin picos ni ciclos faltantes. En fase y redundante con la línea externa, independiente del comportamiento de la red comercial.

ESTATICA Materiales propensos: resina, plásticos, y fibras sintéticas. Se recomiendan las siguientes medidas: Conectar a tierra física tanto el piso falso como todos los equipos existentes. El cable para la tierra física deberá ser recubierto y del mismo calibre que el de las fases y el neutro. La humedad relativa deberá estar entre 45%+-5% para que las cargas estáticas sean menos frecuentes. Se recomienda usar cera antiestática en el piso. Si existieran sillas con ruedas, se recomienda que estas sean metálicas.

ILUMINACION Las estaciones de trabajo alineadas en paralelo, de tal forma que las lámparas en el techo queden directas a los costados de las pantallas. Instalar lámparas fluorescentes blancas. Pintar la oficina con colores tenues y el techo blanco. Debe evitarse que lleguen los rayos directos del sol. El nivel de iluminación corresponde a 40 watts por metro cuadrado de superficie de salón.

ACUSTICA El total del nivel de ruido en el centro de computo, es acumulado por todos los ruidos (motores de los equipos y los movimientos en la operación). Se recomienda aplicar material de aislamiento acústico (papel, fibras minerales, y panel rígido) en paredes y techos del salón, como con texturas basándose en tirol o recubrimientos de enjarres.

PISO FALSO facilidad de distribuir el aire acondicionado.
ocultar el cableado de instalación eléctrica. distribuir el cableado de señal a las necesidades requeridas así como sus cambios de posición. se pueden usar como cámara plena para el aire acondicionado. Proveer una superficie uniforme y plana que cubra todos los cables.

PISO FALSO Permite cambios de distribución de los equipos o aplicaciones de los mismos con el mínimo de tiempo y costo. Es construido por paneles antiestáticos por una densa barrera termo-acústica, envuelto con lámina electro-galvanizada, proporcionando solidez para un soporte de cargas óptimo resistente a la humedad y al fuego. La base guarda uniformidad estructural para soportar cargas distribuidas en un área mínima de 40 cm. Cuadrados. Facilidad de ser conectados a tierra en diferentes puntos

PISO FALSO El piso falso debe ser de módulos intercambiables de 61*61cm. pueden ser construidos de acero, aluminio, hierro, etc. la parte inferior de las losas deberá quedar cubierta por lámina metálica. sobre los pedestales conectados a tierra. debe ser capaz de soportar cargas concentradas de 455 Kg. En cualquier punto con máxima deflexión de 2mm.

PISO FALSO El espacio entre el piso real y el piso falso no desprenda polvo en absoluto y ser lo mas herméticamente posible. Es necesario un escalón o rampa de acceso. Del mismo material del piso falso. Estriado perpendicular a la dirección de circulación. Elevación menor de 12°.

DUCTOS Y CABLEADO DE SEÑAL
Tanto por seguridad como por cuidar los acabados en la decoración interior, los Ductos son un factor de gran importancia para ocultar los cables de señal. Dan una apariencia ordenada. Materiales: PVC, METALICOS, NORYL, POLYCARBONATO, etc. (los últimos dos soportan temperaturas arriba de los 125 °C).

El sistema modular de cableado de comunicación permite conducir cables para voz, datos, vídeo, fibra óptica y electricidad en canales independientes. Nunca deberá conducir señal y electricidad por la misma tubería o ducto.

Cable Coaxial Cable par trenzado Interferencias electromagnéticas y de radiofrecuencia. Distancia. Conectores.

SEGURIDAD LÓGICA Y FÍSICA
SITUACION DEL AREA DEL PROCESADOR. El área de los procesadores no debe situarse encima. Debajo o adyacente áreas donde se procesen, fabriquen o almacenen materiales inflamables, explosivos, gases tóxicos, etc. No debe existir material combustible en el techo, paredes o piso y debe ser resistente al fuego (mínimo una hora). Todas las canalizaciones, Ductos y materiales aislantes, deben ser no combustibles y que desprendan polvo.

ALMACENAMIENTO DE INFORMACION. Cualquier información almacenada en centro de proceso, como listados, disquetes, cintas, etc., debe estar guardados en gavetas metálicas o resistentes al fuego. La cinto-teca deberá estar construida con un rango de resistencia al fuego de por lo menos dos horas y debe ser utilizada solo para este fin. Se deberá contar con un lugar seguro e independiente del centro de proceso para custodiar los dispositivos magnéticos de respaldo, ya sea en bóvedas o en cajas fuertes, de preferencia en otro edificio.

EQUIPOS CONTRA INCENDIOS. La mejor prevención contra incendios consiste en emplear materiales no combustibles o en su defecto, tratarlos con pinturas, impregnaciones u otros que impidan o retarden su inflamación. Debe instalarse un sistema de detección de humo e incendio distribuido por toda el área, tanto debajo del piso falso, o en las salidas de aire acondicionado, en el falso plafón como las visibles en el techo. Este sistema de detección debe activar una alarma, la que avisara al personal para efectuarse el plan de contingencia ya establecido. Deben emplearse suficientes extintores portátiles de bióxido de carbono. Este es el agente recomendado para el equipo eléctrico (fuego clase “C”). La ubicación de los extintores debe estar marcada en el techo y ser accesible a las personas que trabajan en el área. Además, deben poder ser retirados con facilidad en caso de necesidad. Es aconsejable colocar una boca de agua con manguera a una distancia efectiva del centro de proceso, como agente extintor secundario para escritores, sillas, muebles, etc. es (fuego clase “A”).

LUCES DE EMERGENCIA. Se recomienda uso de luces de emergencia alimentadas del UPS (Uninterruptible Power Supply) o con baterías, que automáticamente se encienden ante una falla de energía eléctrica comercial.

SEGURIDAD DEL PERSONAL
El centro de computo debe estar construido y amueblado de manera que no se presenten lugares de peligro para el personal, como son: puertas enteras de vidrio sin indicadores en el mismo, lamparas de vidrio sin una protección adecuada, etc. Las salidas deben estar claramente marcadas y los pasillos del salón que los conducen, deben permanecer sin obstrucciones. Las áreas de servicios recomendadas para todos los sistemas y equipos auxiliares deben ser siempre respetadas. Controles de acceso varía según las distintas horas del día. Es importante asegurar que los controles durante la noche sea tan estrictos como durante el día. Los controles durante los descansos y cambios de turno son de especial importancia.

SEGURIDAD DEL PERSONAL
Vigilar el acceso de terceras personas como pueden ser ingenieros de aire acondicionado y de computación, los visitantes y el personal de limpieza, estos deben ser identificados plenamente y controlados y vigilados en sus actividades durante el acceso. Las puertas deben abrir hacia fuera.

SEGURIDAD CONTRA INUNDACIONES
Si el centro de cómputo en la planta baja o en el sótano, es importante que se considere y elimine cualquier posibilidad de inundación. Eleve 20cm. Su piso normal y verifique que el área y sus alrededores haya buen sistema de drenaje y que este funcione adecuadamente.

SEGURIDAD PARA EL ACCESO AL CENTRO DE CÓMPUTO
El centro de computo debe tener una sola entrada. Las puertas para salida de emergencia solo podrán ser abiertas desde adentro. Si el edificio del centro de computo alberga otras funciones, es primordial el hecho de evitar el libre acceso a áreas restringidas. Excepto para el personal de servicio, no se debe permitir que cualquier visitante tenga acceso al centro de cómputo.

SEGURIDAD PARA EL ACCESO AL CENTRO DE CÓMPUTO
El acceso puede ser mejor controlado por medio de cerraduras electromagnéticas. También existen dispositivos de monitoreo basado en cámaras de T.V. La vigilancia personal es de los mejores medios de seguridad por lo que el personal deberá ser instruido para que vigile a cualquier persona que no conozca y que se encuentre dentro de la instalación y que en adicción sepa que no esta autorizada para permanecer ahí.

MANTENIMIENTO PREVENTIVO
Se deberá revisar las especificaciones en el manual de operación de cada equipo. Para los procesadores de datos sé deberán checar: los errores del disco duro, cambiar los filtros de aire o en su defecto lavarlos, revisar la configuración del rack, limpiar las cabezas lectoras de las unidades de cintas diskette y cartucho, revisar cables flojos, remover y aspirar el polvo que pueda tener, etc.

Para las impresoras y demás periféricos revisar las bandas, engranes rodillos, tractores, motores, etc., se deberán cambiar partes muy gastadas. Para el piso falso y plafones, se deberán mantener aspirados y limpios sobre todo si se usan como cámara plena de aire acondicionado para que no suelte polvo para los equipos. El aire acondicionado por sus condiciones de uso que es exclusivo para el centro de computo y su funcionamiento es de las 24:00 hrs. del día todo el año, se requieren de un mantenimiento preventivo del compresor filtros de aire de la manejadora, etc.

Los detectores de humo e incendio probarlos para que activen el sistema de alarmas y estén en condiciones de operación para cuando se requiera. La instalación eléctrica, UPS´s y reguladores checar que proporcionen los voltajes correctos, cables flojos o de falso contacto, interruptores, etc.

Seguridad Total Factores para incrementar la seguridad.
Concentración del procesamiento y aplicaciones más grandes y de mayor complejidad, las cuales son parte integral de la institución. Dependencia del personal clave. Desaparición de los controles tradicionales. Huelgas, Terrorismo urbano e inestabilidad social. Mayor conciencia de los proveedores de computadoras.

Seguridad Total Enfoque tradicional. (resultados visibles)
La seguridad física, que incluye seguridad de acceso y contra incendios. La seguridad de los datos y los archivos.

Seguridad Total Concepto de seguridad total en computación.
Aspectos administrativos. Política definida sobre seguridad en computación. Organización y división de las responsabilidades. Seguridad física y contra incendios. Políticas hacia el personal. Seguros.

Seguridad Total Concepto de seguridad total en computación.
Aspectos técnicos y de procesamiento. Seguridad de los sistemas (servidores, redes y terminales). Seguridad de las aplicaciones, incluyendo la seguridad de los datos y los archivos. Estándares de programación y operación de los sistemas. Función de la auditoría interna y la externa. Plan y simulacro para desastres.

Definición de una política de seguridad en computación
Limitaciones de la seguridad. Requiere personal honesto, a mayor seguridad, mayor costo y menores beneficios. Equilibrio entre las medidas de seguridad y los niveles de riesgo. Mal manejo o negligencia. Ataques deliberados.

Cuantificación de los riesgos para la seguridad en computación. Clasificación general de las instalaciones en términos de riesgo alto, medio y bajo. Identificación de las aplicaciones que constituyen riesgos altos. Cuantificación del impacto producido por la suspensión prolongada del procesamiento las aplicaciones de alto riego.

Cuantificación de los riesgos para la seguridad en computación. Formulación de las medidas necesarias para lograr un nivel de seguridad adecuado, es decir, en equilibrio con los niveles de riesgo. Justificación de las medidas de seguridad en cuento al costo que representan.

El logro del compromiso con la política de seguridad. El compromiso de la gerencia es primordial. La participación de todos para la definición. Resulta provechosa la creación de un comité de seguridad que conduzca a un mayor seguimiento de rutinas y a niveles de compromiso más altos.

Organización y división de responsabilidades
El personal que prepara los datos no debe tener acceso a las actividades de operación. Los analistas y programadores no deben tener acceso a las actividades de operación y viceversa. Los operadores no deben tener acceso irrestricto a las funciones de protección de información o departamentos donde se localicen los archivos maestros. Los operadores no deben tener los controles únicos del procesamiento del trabajo y se les debe prohibir que inicien las correccio9nes de errores.

Sistemas de control interno. Verificación documentada de evidencias requiere: Modificación de programas autorizada y probada. Documentar desarrollo y prueba de sistema nuevo. Verificar datos de los archivos, contra impresos que sean editados en el ordenador. Que los datos de entrada se agrupen y revisen. Se documenten los errores y se autoricen y comparen las correcciones con el material impreso por la computadora.

Sistemas de control interno. Los auditores internos y externos deben: Revisar la división de responsabilidades y los procedimientos para garantizar que estos sean correctos. Realizar pruebas que garanticen el cumplimiento de los procedimientos o sistemas de control interno predeterminados.

Asignación de responsabilidad en cuento a seguridad. Gerencia general. Definición de una política de seguridad. Garantía de la existencia de los planes contra desastres. Gerencia de sistemas. Identificar las exigencias de seguridad en los planes de aplicaciones de largo plazo. Aplicar de manera rutinaria las medidas de seguridad en el diseño y la realización de cada aplicación. Punto de débil en en la mayoría de las organizaciones.

Sustitución de personal clave. La sustitución de personal clave es primordial y los niveles de gastos presupuestados deben incluir fondos para ello, sobre todo en aplicaciones de alto riesgo. O considerar seriamente el outsourcing de servicios de computación.

Políticas hacia el personal
Políticas de contratación. Verificación de referencias. Pruebas psicológicas. Exámenes médicos Evaluar la habilidad para laborar en situaciones de estrés.

Procedimientos para evaluar el desempeño Puede identificar y ayudar al personal con problemas personales o de actitud. En las instalaciones de alta seguridad resulta muy valiosa que los gerentes revisen de manera mas frecuente las actitudes y el comportamiento del personal a su cargo.

Política de permisos. Sobre-tiempo, permisos no reglamentados, debido al nivel clave de los cargos. Es importante asegurar que personal expuesto al estrés descanse periódicamente Es una forma para detectar sabotaje. La importancia y dependencia de personal clave no debe obstruir la reglamentación de esta política en la función de procesamiento de datos.

Rotación de puestos. Antagonista de fraudes. Representa una desventaja en un ambiente de seguridad alta. Más recomendable en niveles de responsabilidad media y baja. Las ventajas generalmente sobrepasan cualquier posible desventaja.

Evaluación de las actitudes del personal. No es probable que un empleado bien motivado sea desleal. Un ambiente de baja motivación posibilita brechas de seguridad (apatía, espionaje) . En instalaciones grandes el uso de encuestas sobre actitudes puede ser un instrumento valioso.

Los seguros Problemas tradicionales
Comunicación. Los aseguradores saben mucho de riesgos comerciales y muy pos de computadoras; y el personal de computo muy poco de seguros y mucho sobre computadoras. No hay entendimiento de los riesgos y sus consecuencias. La computación es una profesión resiente; los antecedentes de reclamación sobre seguros son pocas.

Los seguros Áreas de riesgo asegurables. Ambiente.
Riesgos externos: explosivos, inflamables, atmósferas toxicas, inundación. Riesgos internos: fuentes de energía, equipos de aire acondicionado, detectores de fuego, aparatos emisores de CO2 y agua, calefacción, drenaje. Se pueden cubrir con pólizas convencionales.

Los seguros Áreas de riesgo asegurables.
Equipo. Edificio y todo lo que contiene. Responsabilidad del seguro. El fabricante no cubre negligencia. Lo rentado se debe considerar aparte. Lo comprado se debe asegurar por valor de su reposición no de su costo. Riesgos a cubrir (todo) Causas externas: desde rayos hasta impactos. Causas internas “no” asegurables: acciones deliberadas o negligencia, paro prolongado del funcionamiento. Con frecuencia se pueden cubrir con una póliza contra perdida de ganancias.

Los seguros Áreas de riesgo asegurables. Programas y datos.
Rentado, comprado o desarrollado; documentos físicos y digitales. Seguros contra pérdida o daños Medio de almacenamiento. Costo de reposición de la información. Programas de computadora. Extraviados, robados, dañados o destruidos. Valor del seguro: costo de producción, costo de reproducción, valor comercial.

Los seguros Áreas de riesgo asegurables.
Interrupción comercial y su recuperación Evaluación de consecuencias. Costos que permanecen constantes. Costo adicional de trabajo. Multa por entrega retardada. Incapacidad de cobrar. Efectos de la interrupción sobre el costo. El costo incrementado del trabajo solamente. La perdida de ganancias o ingresos.

Los seguros El Personal Daños causados por el personal
Daños al personal. Actos deshonestos del personal. Responsabilidades de terceras personas.

Los seguros Servicios de seguro especializados
Seguimiento de los cambios en los riesgos Comité de seguridad Identificar y cuantificar riesgos Garantizar cobertura. Planes de contingencia. Excluir responsabilidad hacia terceros. Obtener orientación y asesoría.

Los seguros Seguimiento de los cambios en los riesgos
Representantes en el Comité de seguridad: Gerencia de sistemas Compañía de seguros Gestores de seguros Departamento de finanzas Auditoría interna y externa. Se recomiendan reuniones cuatrimestrales o anuales.

Elementos técnicos y de procesamiento
Seguridad de los sistemas. Seguridad de las aplicaciones. Estándares de programación y operación de los sistemas. Función de los auditores Planes y simulacros de recuperación en caso de desastres.

Seguridad de los sistemas
Candado físico a la computadora. No se ha diseñado todavía un sistema operativo completamente seguro. Restringir el acceso a los programas y archivos. Elaborar un inventario de “puertas falsas”. Acceso no autorizado a redes. Criptografía para preservar la confidencialidad.

Seguridad de los sistemas
Terminales: Verificaciones físicas Informes sobre intentos de acceso no autorizados. Cambios sorpresa de códigos Pruebas sorpresa. Seguimiento de desempeño Logs de sucesos. No software espía

Seguridad de las aplicaciones
Relación entre la computadora y el usuario. Corrección de errores de entrada. Acceso a informes Control de impresiones validas o no. Control de copias carbón y fotocopias.

Seguridad de las aplicaciones
Controles de usuario. No es aceptable culpar a la computadora por decisiones basadas en datos imprecisos. Seguridad de archivos Almacenamiento de las copias de seguridad en lugar distante. Identificación y control de archivos. Precisión de los archivos. Lost + found. Acceso físico a los archivos. Revisión regular de los controles de aplicación (auditoría).

Estándares de programación y operación de sistemas
Razones para revisar los estándares como parte de la seguridad. La necesidad de poner atención en la seguridad durante todas las etapas, preliminares y subsecuentes, del análisis y del diseño La exigencia de los arreglos de respaldo adecuados, como la duplicación de los sistemas, programación y documentación de las operaciones.

Seguridad y planeación computacional a largo plazo. Impacto de la seguridad en computación sobre la estrategia del equipo y los programas. Consideraciones de seguridad de las terminales: Controles de aplicación Requisitos físicos y ubicación Estrategia de redes y respaldo. Estándares de control de aplicación, en espacial de reinicio y de respaldo. Estándares de los datos y del diseño de archivos. Función de las auditorías y requisitos durante las fases de diseño , aplicación y operación.

Garantía de la calidad de aplicación a corto plazo. Seguridad del equipo y los programas. Controles de la aplicación Supervisión y métodos de trabajo Documentación (almacenamiento).

Operaciones Buenas practicas de mantenimiento Evitar la malas prácticas de operación del equipo y la programación Procedimientos para el uso de las copias de seguridad de los programas datos o archivos. Procedimientos de entrega para aplicaciones nuevas. Etapas al establecer aplicaciones nuevas.

Planes y simulacros para la recuperación en caso de desastres
Tipos de desastre Destrucción completa de los recursos centralizados. Destrucción parcial de los recursos centralizados. Destrucción o mal funcionamiento de los recursos ambientales (climas, energía) Destrucción total o parcial de los recursos descentralizados Destrucción total o parcial de los procedimientos manuales de usuario (captura de datos) Perdida del personal de computo clave. Interrupción por huelga.

Alcance de la planeación contra desastres Aplicaciones en el proceso de desarrollo Documentación de los sistemas La programación (codigo fuente) Manual de operación Aplicaciones terminadas Lo anterior más: Todo tipo equipo (pisapapeles – servidores) Datos y archivos Papelería y mensajería Procedimientos en caso de desastres (documento)

Simulacros de desastres Importancia. Se prueban la conciencia y preparación del personal para afrontar el desastre. Se identifican las omisiones en los planes contra desastres. El elemento sorpresa de los simulacros de desastres constituye una buena verificación moral para garantizar que se encuentren vigentes, en forma rutinaria, buenas practicas de seguridad.

Simulacros de desastres Alcance Parcial o total Procedimientos de usuarios Aspectos de computación Frecuencia Esporádica Sorpresiva No se debe anunciar Una dos personas enteradas En momentos convenientes y no convenientes

Simulacros de desastres Forma del simulacro. Anunciar el tipo de desastre. Todo el trabajo debe cesar. Tomar nota del estado del procesamiento Completar un inventario de la información destruida Recomenzar el trabajo o continuar simulacro durante el uso del equipo de respaldo.

Simulacros de desastres Análisis de impacto Las aplicaciones en desarrollo Aplicaciones operativas, en proceso o no La información perdida La respuesta del personal y conocimiento inapropiado. Cuantificación de perdidas por destrucción de información o interrupción de procesos Efectividad de los procedimientos de recuperación y respaldo, basados en información real y equipo de respaldo Analizar debilidades detectadas y corregir el plan contra desastres

Condiciones físicas ITESRC Administración de la Función Informática

Presentaciones similares

Presentación del tema: "Condiciones físicas ITESRC Administración de la Función Informática"— Transcripción de la presentación:

Presentaciones similares

Sobre el proyecto

Feedback

Iniciar la sesión

Autorizarse a través de una red social:

Condiciones físicas ITESRC Administración de la Función Informática

Presentaciones similares

Presentación del tema: "Condiciones físicas ITESRC Administración de la Función Informática"— Transcripción de la presentación:

Presentaciones similares

Sobre el proyecto

Feedback