Context Navigation

← Previous Changeset
Next Changeset →

Changeset f6f92c7 in libros

Timestamp:

Oct 16, 2014, 8:55:14 AM (10 years ago)

Author:

aaraujo <aaraujo@…>

Branches:

Children:

Parents:

git-author:

Dhionel Díaz <ddiaz@…> (12/10/14 18:57:37)

git-committer:

aaraujo <aaraujo@…> (16/10/14 08:55:14)

Message:

Correcciones capítulo 2.

Correcciones a las secciones Seguridad Lógica en... (2.16) a Plan de recuperación... (2.22)

Signed-off-by: Dhionel Díaz <ddiaz@…>
Signed-off-by: aaraujo <aaraujo@moe>

Location:

maquetacion/capitulo2

Files:

: 8 edited

gestionIncidenteSeguridad.tex (modified) (9 diffs)
planRecuperacionDesastres.tex (modified) (2 diffs)
politicasRespaldoRecuperacion.tex (modified) (3 diffs)
politicasSeguridadCentroDatos.tex (modified) (2 diffs)
seguridadFisicaCentroDatos.tex (modified) (12 diffs)
seguridadFisicaPuestosTrabajo.tex (modified) (2 diffs)
seguridadLogicaCentroDatos.tex (modified) (3 diffs)
seguridadLogicaPuestosTrabajo.tex (modified) (2 diffs)

Legend:

: Unmodified
: Added
: Removed

maquetacion/capitulo2/gestionIncidenteSeguridad.tex

-                      rc1c9daf
+                      rf6f92c7
 Un incidente de seguridad es cualquier evento que pueda ocasionar la
 interrupción o degradación de los servicios de los sistemas.
+Estos incidentes pueden ser ocasionados de forma intencional, por error de aplicación de las políticas y procedimientos de
+Estos incidentes pueden ser ocasionados de forma intencional, por
+error de aplicación de las políticas y procedimientos de
 seguridad, de desastre natural o del entorno como las inundaciones,
 incendios, tormentas, fallos eléctricos entre otros.
 …
 \begin{itemize}
+\item Se debe contar con un equipo de personas para la solución del incidente, que será el equipo encargado de activar y coordinar el plan de contingencia.
+Este equipo debe estar constituido por personas que cuenten con la experiencia y
+formación necesaria que pueda dar respuesta ante cualquier incidente de seguridad.
+Debe existir una lista de números telefónicos y direcciones actualizadas para la
+\item Se debe contar con un equipo de personas para la
+superación del incidente, que será el equipo encargado
+de activar y coordinar el plan de contingencia.
+Este equipo debe estar constituido por personas que cuenten
+con la experiencia y
+formación necesaria que pueda dar respuesta
+ante cualquier incidente de seguridad.
+Debe existir una lista de números telefónicos y
+direcciones actualizadas para la
 ubicación de las personas que conforman este equipo en el momento que
 ocurra un incidente de seguridad.
 …
 \item Hacer inventario de los equipos y servicios. Se requiere de una descripción
+detallada de la ubicación, configuración, características, y procedimientos de respaldo y recuperación.
+detallada de la ubicación, configuración, características,
+y procedimientos de respaldo y recuperación.
 \item Considerar los posibles escenarios de incidentes de seguridad que puedan
+ocurrir en cada área crítica identificada. Los mismos deben estar bien documentados.
+ocurrir en cada área crítica identificada. Los mismos deben estar
+bien documentados.
 \item Describir clara y detalladamente los planes de contingencia de todos los
 …
 procedimientos de actuación necesarias para la restauración rápida y eficiente.
+\item Efectuar reuniones al menos una vez al año para la revisión del plan de contingencia,
+\item Efectuar reuniones al menos una vez al año para
+la revisión del plan de contingencia,
 en función de evaluar y actualizar las condiciones del sistema informático.
 \item Detectar incidentes de seguridad. La institución debe prestar
 especial atención a los indicadores de incidentes de seguridad,
+como una actividad a contemplar dentro del plan de respuesta a incidentes. Entre estos indicadores se tienen:
+como una actividad a contemplar dentro del plan de respuesta
+a incidentes. Entre estos indicadores se tienen:
         \begin{itemize}
+                \item Cambio de configuración de los equipos de red con acciones tales como la activación de nuevos servicios, la verificación de puertos abiertos no autorizados, entre otros.
+                \item Cambio de configuración de los equipos de red
+                con acciones tales como la activación de nuevos servicios,
+                la verificación de puertos abiertos no autorizados, entre otros.
+                \item Caída en el rendimiento de la red o algún servidor debido a un incremento inusual del trafico de datos.
+                \item Caída en el rendimiento de la red o algún servidor
+                debido a un incremento inusual del trafico de datos.
+                \item Caída o mal funcionamiento de servidores como: reinicio inesperado, fallos en algún servicio.
+                \item Caída o mal funcionamiento de servidores como:
+                reinicio inesperado, fallos en algún servicio.
                 \item Existencia de herramientas no autorizadas en el sistema.
+                \item Aparición de nuevas cuentas de usuarios o registro de actividades inusuales
+                en algunas cuentas como: conexión de usuarios en horarios poco usuales.
+                \item Aparición de nuevas cuentas de usuarios o registro
+                de actividades inusuales
+                en algunas cuentas como: conexión de usuarios en horarios
+                poco usuales.
         \end{itemize}
 …
 \subsection{Durante el incidente de seguridad:}
+Cuando ya se tiene certeza del incidente a través de datos que lo confirman, se debe actuar de forma oportuna y diligente. En esta fase del incidente, se pueden seguir las siguientes recomendaciones:
+Cuando ya se tiene certeza del incidente a través de datos
+que lo confirman, se debe actuar de forma oportuna y diligente.
+En esta fase del incidente, se pueden seguir las siguientes recomendaciones:
 \begin{itemize}
+\item Analizar el incidente de seguridad con el objetivo de determinar el alcance (aplicaciones afectadas,
+información confidencial comprometida, equipos afectados, entre otras), para ayudar al
+equipo de solución a tomar soluciones adecuadas y permitan establecer prioridades
+\item Analizar el incidente de seguridad con el objetivo
+de determinar el alcance (aplicaciones afectadas,
+información confidencial comprometida, equipos afectados,
+entre otras), para ayudar al
+equipo de solución a tomar soluciones adecuadas y permitan
+establecer prioridades
 en las actividades que se deben llevar a cabo.
+\item Poner en marcha el plan de contingencia de acuerdo al incidente de  seguridad presentado.
+\item Poner en marcha el plan de contingencia de acuerdo al
+incidente de  seguridad presentado.
 \item Contener, erradicar y recuperar. El equipo de solución debe llevar a
 cabo
 una rápida actuación para  evitar que el incidente de seguridad vaya a
 tener mayores consecuencias a la institución.
+\item Contener, erradicar y recuperar. El equipo responsable
+debe llevar a cabo
+una rápida actuación para  evitar que el incidente de
+seguridad vaya a tener mayores consecuencias a la institución.
 \end{itemize}
 …
 \subsection{Después del incidente de seguridad:}
+Después de la ocurrencia del incidente de seguridad, es decir, cuando ya se encuentre en pleno funcionamiento el sistema informático, se recomiendan ejecutar las siguientes actividades:
+Después de la ocurrencia del incidente de seguridad, es decir, cuando
+ya se encuentre en pleno funcionamiento el sistema informático, se
+recomiendan ejecutar las siguientes actividades:
 \begin{itemize}
+\item Análisis y revisión del incidente. Causas del incidente, valoración inicial de los daños y sus posibles consecuencias
+\item Análisis y revisión del incidente. Causas del incidente,
+valoración inicial de los daños y sus posibles consecuencias.
+\item Una completa documentación del incidente facilitará su posterior estudio.
+\item Una completa documentación del incidente facilitará
+su posterior estudio.
 Entre los aspectos que debe tener reflejado la documentación se tiene:
         \begin{itemize}
+                \item Descripción del tipo de incidente: ataque a la seguridad, procedimientos de seguridad, desastres naturales.
+                \item Descripción del tipo de incidente: ataque a la
+                seguridad, procedimientos de seguridad, desastres naturales.
+                \item Hechos registrados (como por ejemplo: logs de los equipos).
+                \item Hechos registrados (como por ejemplo: bitácoras
+                de los equipos).
                 \item Daños producidos en los sistemas informáticos.
 …
                 \item Decisiones y actuación del equipo de respuesta.
+                \item Lista de evidencias obtenidas durante el análisis y la investigación
+                \item Lista de evidencias obtenidas durante el análisis
+                y la investigación
+                \item Posibles actuaciones y recomendaciones para reforzar la seguridad y evitar incidentes similares en un futuro.
+                \item Posibles actuaciones y recomendaciones para reforzar
+                la seguridad y evitar incidentes similares en un futuro.
         \end{itemize}
 …
 vulnerabilidades omitidos o recreados luego de la recuperación de los sistemas.
+\item Aplicación de \textit{informática forense}. Esta proporciona los principios y técnicas que facilitan la
+investigación de los eventos informáticos ocurridos, mediante la identificación, captura,
+reconstrucción y análisis de evidencias. Entre las etapas para el análisis forense se tienen:
+\item Aplicación de \textit{informática forense}. Esta proporciona
+los principios y técnicas que facilitan la
+investigación de los eventos informáticos ocurridos, mediante
+la identificación, captura,
+reconstrucción y análisis de evidencias. Entre las etapas para
+el análisis forense se tienen:
         \begin{itemize}
 …
                 \item Análisis de la información obtenida.
+                \item Elaboración de informe con las conclusiones del análisis forense.
+                \item Elaboración de informe con las conclusiones
+                del análisis forense.
         \end{itemize}
 \end{itemize}

maquetacion/capitulo2/planRecuperacionDesastres.tex

-                      rc1c9daf
+                      rf6f92c7
 \section{Plan de recuperación ante desastres}
+El "Plan de recuperación ante desastre" es un elemento que contribuye a la práctica efectiva de
+medidas de seguridad para garantizar una adecuada recuperación de la operatividad mínima
+luego de una contingencia, en donde se vean afectados los procesos y
+recursos informáticos que funcionen en la organización.
+El ``Plan de recuperación ante desastres'' es un
+elemento que contribuye a la práctica efectiva de
+medidas de seguridad para garantizar una adecuada
+recuperación de la operatividad mínima
+luego de una contingencia, en donde se vean
+afectados los procesos y recursos informáticos que
+funcionen en la organización.
+Los desastres pueden ser naturales o accidentales como incendios, inundaciones, corte en el
+suministro de energía eléctrica, entre otros eventos no planificados. El plan de
+Los desastres pueden ser naturales o accidentales
+como incendios, inundaciones, corte en el
+suministro de energía eléctrica, entre otros eventos
+no planificados. El plan de
 recuperación ante desastres debe especificar
+los objetivos y prioridades a tener en cuenta por las instituciones. Es necesario
+contemplar la disponibilidad de los recursos y medios adecuados que permitan restaurar
+el funcionamiento de los sistemas informáticos de la institución, así como de la
+recuperación
+de los datos, aplicaciones y servicios básicos. La práctica de recuperación
+que se acostumbra a realizar es:
+los objetivos y prioridades a tener en cuenta por
+las instituciones. Es necesario
+contemplar la disponibilidad de los recursos y medios
+adecuados que permitan restaurar
+el funcionamiento de los sistemas informáticos de la
+institución, así como de la recuperación
+de los datos, aplicaciones y servicios básicos. La
+práctica de recuperación que se acostumbra a realizar es:
 \begin{itemize}
+\item Disponibilidad de un centro alternativo para la ubicación de los principales recursos informáticos
+(servidores, aplicaciones, bases de datos,  entre otros). Este centro debe contar
+\item Disponibilidad de un centro alternativo para la
+ubicación de los principales recursos informáticos
+(servidores, aplicaciones, bases de datos,  entre otros).
+Este centro debe contar
 con las mismas medidas de seguridad que las instalaciones principales
 de la institución.
+\begin{comment}
 % Entre las diferentes alternativas de centro alterno tenemos:
 %       \begin{itemize}
 …
 %               \item Centro alterno “Caliente” en una configuración en “espejos”. Se trata de un centro con el mismo equipamiento que el centro principal y que trabajo de modo paralelo a este, pudiendo entrar en acción inmediatamente a la caída del centro principal.
 %       \end{itemize}
+\end{comment}
 \item Existencia de políticas de respaldo y recuperación.
+\item Herramientas para llevar a cabo una replicación de los documentos y las bases de datos.
+\item Herramientas para llevar a cabo una replicación de los
+documentos y las bases de datos.
+\item Detección y respuesta al desastre en el centro principal, adoptando las medidas de contención previstas
+\item Detección y respuesta al desastre en el centro principal,
+adoptando las medidas de contención previstas
 dependiendo del tipo de desastre: incendio, inundación, explosión, entre otros.
+\item Traslado de las actividades a un centro alternativo, junto con el personal necesario para la puesta
+\item Traslado de las actividades a un centro alternativo,
+junto con el personal necesario para la puesta
 en marcha de los servicios, equipos informáticos, copias de seguridad más
 recientes y con las medidas de seguridad que correspondan, entre otros.

maquetacion/capitulo2/politicasRespaldoRecuperacion.tex

-                      rc1c9daf
+                      rf6f92c7
 \label{politicasDeRespaldoYRecuperacion}
+Es imprescindible contar con políticas de respaldo y recuperación para garantizar el continuo
+funcionamiento de los sistemas de la organización. La recuperación de los sistemas posterior
+a la interrupción de índole natural o accidental como incendios, mal funcionamiento de los
+sistemas, errores humanos, entre otros, resulta necesario, requiriendo de una acción rápida para asegurar la disponibilidad.
+Es imprescindible contar con políticas de respaldo
+y recuperación para garantizar el continuo
+funcionamiento de los sistemas de la organización. La
+recuperación de los sistemas posterior
+a la interrupción de índole natural o accidental como
+incendios, mal funcionamiento de los
+sistemas, errores humanos, entre otros, resulta necesario,
+requiriendo de una acción rápida para asegurar la disponibilidad.
 % \begin{figure}[ht!]
 …
 % \end{figure}
+Con el objetivo de garantizar la disponibilidad de los servicios es necesario contar con planes
+de contingencias ante desastres y para esto se requiere aplicar las políticas de respaldo y recuperación:
+Con el objetivo de garantizar la disponibilidad de los servicios
+es necesario contar con planes
+de contingencias ante desastres y para esto se requiere
+aplicar las políticas de respaldo y recuperación:
 %En la figura \ref{fig:interrupcionServicios} se muestra un bosquejo sobre un proceso de interrupción de servicios.
 …
 \subsection{Normas para las políticas de respaldo y recuperación}
+Entre las normas a aplicar para el respaldo y la recuperación se pueden mencionar las siguientes:
+Entre las normas a aplicar para el respaldo y la recuperación se pueden
+mencionar las siguientes:
 \begin{itemize}
 \item Las copias de respaldo de datos y archivos de servidores deben ser realizadas y
 supervisadas por personal debidamente autorizado.
+\item Las copias de respaldo de datos y archivos de servidores
+deben ser realizadas y supervisadas por personal debidamente autorizado.
+\item Planificar las copias de respaldo que se deben realizar en función del volumen y del tipo de información generada por los sistemas informáticos.
+\item Planificar las copias de respaldo que se deben realizar
+en función del volumen y del tipo de información generada por
+los sistemas informáticos.
+\item Todas las copias de respaldo y medios de almacenamiento utilizados deben estar bien identificadas
+con información tal como: a qué equipo de computación pertenece, contenido de la copia de
+respaldo, fecha y hora de ejecución del respaldo, cronogramas de ejecución del respaldo,
+tipo de respaldo (completos, incrementales, diferenciales), cuantos medios de almacenamiento
+fueron utilizados, identificación de la persona que ejecuta el respaldo,
+ubicación asignada para su almacenamiento, personas responsables del almacenamiento.
+\item Todas las copias de respaldo y medios de almacenamiento
+utilizados deben estar bien identificadas
+con datos tales como: a qué equipo de computación pertenece,
+contenido de la copia de
+respaldo, fecha y hora de ejecución del respaldo, cronogramas
+de ejecución del respaldo,
+tipo de respaldo (completos, incrementales, diferenciales),
+cuantos medios de almacenamiento
+fueron utilizados, identificación de la persona que ejecutó el respaldo,
+ubicación asignada para su almacenamiento,
+personas responsables del almacenamiento.
+\item Establecer los sistemas  técnicos que se van a emplear para garantizar la privacidad e integridad de los datos que se almacenen.
+\item Establecer los sistemas  técnicos que se van a emplear
+para garantizar la privacidad e integridad de los datos que se almacenen.
 \item Contar con un lugar de resguardo para los respaldos, físicamente seguro y
 que posea controles de acceso.
+\item Contar con un lugar de resguardo para los respaldos,
+físicamente seguro y que posea controles de acceso.
+\item Generar en un tiempo determinado dos copias de los respaldos, unas de esas copias, se
+debe resguardar en otro sitio fuera del edificio, este sitio debe igualmente
+\item Generar en un tiempo determinado dos copias de los respaldos,
+unas de esas copias, se debe resguardar en otro sitio fuera del edificio,
+este sitio debe igualmente
 cumplir con determinados características de seguridad al sitio principal.
 Además, el acceso y traslado de las copias deben ser realizados por
 personal debidamente identificado y autorizado para ejecutar el procedimiento.
+\item Efectuar las pruebas de recuperación en un tiempo determinado y definido para verificar el estado de los soportes y el correcto funcionamiento de las copias de respaldo.
+\item Efectuar las pruebas de recuperación en un tiempo determinado y
+definido para verificar el estado de los soportes y el correcto
+funcionamiento de las copias de respaldo.
+\item Para los casos de aplicaciones críticas se recomienda implementar técnicas de
+\item Para los casos de aplicaciones críticas
+se recomienda implementar técnicas de
 sincronización automática, por hardware y software de forma que si la aplicación
 principal deja de funcionar la otra aplicación espejo tome el control
+inmediatamente o en un tiempo mínimo requerido para su ejecución, este procedimiento es llamado redundancia.
+inmediatamente o en un tiempo mínimo requerido para su ejecución,
+este procedimiento es denominado despeje automático de fallas basado en
+la redundancia de los sistemas.
 \end{itemize}

maquetacion/capitulo2/politicasSeguridadCentroDatos.tex

-                      rc1c9daf
+                      rf6f92c7
 \item Los procedimientos para la creación de nuevas cuentas críticas.
+\item Los niveles de acceso físico y lógico de los recursos computacionales, para establecer quiénes están autorizados para realizar determinadas actividades y operaciones; a qué datos, aplicaciones y servicios, desde qué equipo computacional puede acceder, quiénes pueden acceder al centro de datos.
+\item Los niveles de acceso físico y lógico de los recursos computacionales,
+para establecer quiénes están autorizados para realizar determinadas
+actividades y operaciones; a qué datos, aplicaciones y servicios, desde
+qué equipo computacional puede acceder, quiénes pueden acceder
+al centro de datos.
 \item Los procedimientos para eliminar o bloquear las cuentas y los posibles
 escenarios que puedan incurrir en esta medida.
+\item El personal que delegará la responsabilidad del control de: usuarios, claves, entre otros, en los momentos cuando no esté el responsable principal.
+\item El personal en que se delegará la responsabilidad del control de:
+usuarios, claves, entre otros, en los momentos cuando no esté
+el responsable principal.
+\item Las  políticas de respaldo y recuperación ante incidentes para garantizar el continuo funcionamiento de los sistemas de la institución.
+\item Las  políticas de respaldo y recuperación ante incidentes
+para garantizar el continuo funcionamiento de los sistemas
+de la institución.
+\item Los procedimientos para respaldar o eliminar información o sistemas de los equipos de computación
+\item Los procedimientos para respaldar o eliminar información
+o sistemas de los equipos de computación
 (ver sección \ref{politicasDeRespaldoYRecuperacion}).
+\item Las posibles violaciones y consecuencias derivadas del incumplimiento de las políticas de seguridad.
+\item Las posibles violaciones y consecuencias derivadas del
+incumplimiento de las políticas de seguridad.
+\item Las sanciones a los responsables por la violación de las políticas de seguridad.
+\item Las sanciones a los responsables por la violación de
+las políticas de seguridad.
 \item Clasificar la información e identificar los activos de información.
 …
 \begin{itemize}
+\item Mantener en óptimas condiciones el funcionamiento de la red para garantizar su disponibilidad.
+\item Mantener en óptimas condiciones el funcionamiento de la
+red para garantizar su disponibilidad.
+\item Revisar periódicamente el estado físico del cableado horizontal y vertical de la red de la institución.
+\item Revisar periódicamente el estado físico del cableado
+horizontal y vertical de la red de la institución.
+\item Realizar periódicamente mantenimientos preventivos y correctivos a los equipos de telecomunicaciones. Se recomienda que el mantenimiento se  realice  semestral, además deberá ser registrado en bitácoras.
+\item Realizar periódicamente mantenimientos preventivos y
+correctivos a los equipos de telecomunicaciones. Se recomienda
+que el mantenimiento se  realice  semestral, además deberá ser
+registrado en bitácoras.
+\item Supervisar y mantener adecuadamente las instalaciones de la infraestructura de red.
+\item Supervisar y mantener adecuadamente las instalaciones de
+la infraestructura de red.
 \item Administrar y operar los servidores de la red interna de la organización.
 \item La red interna no será instrumento de experimentos que pongan en riesgo la
 integridad de la información.
+\item Garantizar que la red interna no sea instrumento de experimentos que pongan
+en riesgo la integridad de la información.
 \item Configurar y supervisar los equipos de comunicaciones.
 \item Construir un mapa de red y actualizarlo ante cambios.
+\item Construir un mapa de red y mantenerlo actualizado.
+\item Asegurar las contraseñas críticas como: administrador (\textit{root}), aplicaciones como cortafuegos, servidores, entre otros.
+\item Asegurar las contraseñas críticas como: administrador (\textit{root}),
+aplicaciones como cortafuegos, servidores, entre otros.
+\item Ubicar los equipos en salas (centro de datos) con acceso restringido y medidas de seguridad física, utilizando estándares o certificaciones.
+\item Ubicar los equipos en salas (centro de datos) con acceso restringido
+y medidas de seguridad física, utilizando estándares o certificaciones.
 \end{itemize}

maquetacion/capitulo2/seguridadFisicaCentroDatos.tex

-                      rc1c9daf
+                      rf6f92c7
 \section{Seguridad física en los centros de datos}
+Para establecer la seguridad física se deben tener en consideración varios aspectos
+(físico, lógico y ambiental) que permitirán una configuración apropiada y segura
+para el centro de datos. En esta área por lo general se encuentra un alto
+porcentaje de los activos de información de la institución. En él se concentran y se procesan todos los recursos
+lógicos con que opera la institución. Para configurar un centro de datos confiable y seguro se debe
+considerar:
+Para establecer la seguridad física se deben tener
+en consideración varios aspectos (físico, lógico y ambiental)
+que permitirán una configuración apropiada y segura
+para el centro de datos. En esta área por lo general se
+encuentra un alto porcentaje de los activos de información de la institución,
+por cuanto en él se concentran y se procesan la mayor parte de los recursos
+lógicos con que opera la institución. Para configurar un
+centro de datos confiable y seguro se debe considerar lo siguiente:
 \subsection{Servicios que prestan o prestarán los centros de datos}
 …
 \end{itemize}
+Con esta información se pueden establecer las relaciones con la capacidad de procesamiento,
+Con esta información se pueden establecer las relaciones con la
+capacidad de procesamiento,
 cantidad de equipos computacionales requerido, espacio físico y acondicionamiento
 del espacio (aire acondicionado, capacidad de la planta eléctrica, entre otros).
+\subsection{Ubicación y condición física de los centros de datos}
+La selección de la ubicación de un centro de datos, es un factor determinante en su correcto
+\subsection{Ubicación y condiciones físicas para centros de datos}
+La selección de la ubicación de un centro de datos es un factor
+determinante en su correcto
 funcionamiento, puesto que de esto depende la mayor protección y seguridad
 de una de las áreas más importantes de cualquier institución.
+de una de las áreas más importantes de la institución a la que pertenezca.
 Para la ubicación del centro de datos se recomienda que:
 \begin{itemize}
+\item Se encuentre alejado de instalaciones eléctricas como radares, microondas, u otro equipo que genere ondas electromagnéticas, para
+que no influyan en el funcionamiento de los equipos de computación del centro de datos.
+\item Se encuentre lejos de estaciones de materiales volátiles, estaciones de servicio (bombas de gasolina),
+\item Se encuentre alejado de instalaciones eléctricas como radares,
+microondas, u otro equipo que genere ondas electromagnéticas, para
+que no influyan en el funcionamiento de los equipos de computación
+del centro de datos.
+\item Se encuentre lejos de estaciones de materiales volátiles,
+estaciones de servicio (bombas de gasolina),
 porque representan peligros por incidentes intencionados o fortuitos.
 \item Se encuentren en lugares no desolados o desprotegidos.
+\item Se encuentre en lugares no desolados o desprotegidos.
 \end{itemize}
 …
 \begin{itemize}
+\item Que el terreno donde se encuentra ubicado no presente  problemas de hundimiento.
+\item Que el terreno donde se encuentra ubicado no presente
+problemas de hundimiento.
 \item Que no existan condiciones climatológicas adversas: áreas de constantes
 lluvias y descargas eléctricas, altas temperaturas, u otra condición similar.
+\item Que el centro de datos  no esté ubicado  en un área con constantes actividades sísmicas.
+\item Que el centro de datos  no esté ubicado  en un área con
+constantes actividades sísmicas.
 \item Que el centro de datos no  esté ubicado  en áreas propensas  a inundaciones.
 …
 \begin{itemize}
+\item Espacios amplios disponibles por la organización con todos los servicios que requiere el centro de datos.
+\item Espacios amplios disponibles por la organización con todos
+los servicios que requiere el centro de datos.
 \item El acceso a los equipos de computación y del personal al centro de datos
 …
 desde y hacia el centro de datos.
+\item Buen diseño de las instalaciones de suministro eléctrico, que garantice el suministro
+y la disponibilidad de la energía eléctrica estable, y además sea independiente del resto de
+\item Buen diseño de las instalaciones de suministro
+eléctrico, que garantice el suministro
+y la disponibilidad de la energía eléctrica estable,
+y además sea independiente del resto de
 las instalaciones del edificio del la institución.
 …
 podría ocasionar serios problemas al utilizar los equipos.
 Se requiere de la disposición de planta generadora de corriente para evitar
+la paralización de las actividades del centro de datos en los períodos de corte
 de energía eléctrica. Las características
 de las platas eléctricas y su instalación estará en función a las necesidades
+Se requiere de la disposición de planta generadora de energía electrica
+para evitar la paralización de las actividades del centro de datos
+en los períodos de corte del suministro principal. Las características
+de las plantas y su instalación estarán en función a las necesidades
 eléctricas del centro de datos.
+Contar con sistemas de puesta a tierra, que permitan absorber las descargas
+eléctricas.
+Por último, contar con fuentes o suministro de poder (\textit{UPS}) para proteger a los equipos electrónicos por fluctuaciones de poder.
+\item Se debe contar con un acondicionamiento térmico del local que controle la humedad
+y la temperatura requeridas por los equipos computacionales del centro de datos.
+\item Instalación de pisos falsos, para evitar que las descargas eléctricas
+afecten a los
+equipos por su característica conductiva, y para una óptima distribución de cableado,
+canaletas, aire acondicionado.
+\item Se debe considerar la resistencia del piso falso que soporte el peso de los
+equipos de computación y personal que se encuentran en el centro de datos.
+\item Se debe preservar las condiciones térmicas del local de los centros de datos y
+para evitar la entrada de cualquier sustancia extraña que pueda generar algún incidente.
+\item Para las paredes y techos de los centros de datos se recomienda usar
+pinturas plásticas lavables
+Contar con sistemas de puesta a tierra, que permitan absorber
+las descargas eléctricas y proteger a las personas y equipos de
+sus efectos.
+Por último, contar con equipo para suministro de energía ininterrumpida
+(\textit{UPS}) para proteger a los equipos electrónicos de las
+fluctuaciones en los parámetros del suministro de energía principal
+y garantizar la continuidad y calidad del suministro de energía a
+los equipos del centro de datos.
+\item Se debe contar con un acondicionamiento térmico del local
+que mantenga controlada la humedad
+y la temperatura en los rangos apropiados para el funcionamiento de
+los equipos computacionales del centro de datos.
+\item Instalación de pisos elevados, para evitar que las descargas
+eléctricas afecten a los
+equipos por su característica conductiva, y para una óptima distribución
+de cableado, canaletas, bandejas y ductos de aire acondicionado.
+\item Se debe considerar la resistencia del piso elevado
+que soporte el peso de los equipos de computación y personal que se encuentren
+en el centro de datos.
+\item Se debe preservar las condiciones térmicas
+del local de los centros de datos y
+evitar la entrada de cualquier sustancia extraña
+que pueda generar algún incidente.
+\item Para las paredes y techos de los centros de datos
+se recomienda usar pinturas plásticas lavables
 para ser limpiados fácilmente y evitar la erosión.
+\item La altura del techo debe estar entre los 2,70m y 3,30m para permitir la movilidad del aire dentro del centro de datos.
+\item Se debe contar con ductos lisos y sin desprendimiento de partículas con el paso del aire que pudiera afectar a los equipos de computación
+\item El cableado del centro de datos se recomienda que esté dispuesto por debajo
+del piso falso, ubicado de forma separada en función al tipo de cable (de alto
+voltaje,
+de bajo voltaje, de telecomunicación, y los de señales para dispositivos de detección de fuego).
+\item Evitar conectar múltiples dispositivos en el mismo toma corriente para evitar sobrecargas en los circuitos eléctricos del centro de datos.
+\item La altura del techo debe estar entre los 2,70m y 3,30m
+para permitir la movilidad del aire dentro del centro de datos.
+\item Se debe contar con ductos lisos y sin desprendimiento de
+partículas con el paso del aire, que pudieran afectar a los
+equipos de computación.
+\item El cableado de potencia del centro de datos se recomienda que
+esté dispuesto por debajo del piso elevado, ubicado de forma separada
+en función al tipo de cable (de alto voltaje, de bajo voltaje). Los cableados
+de telecomunicaciones y los de señales para dispositivos de detección de fuego
+es recomendable se encuentren canalizados en bandejas aéreas.
+\item Evitar conectar múltiples dispositivos en el mismo sócate de energía
+para evitar sobrecargas en los circuitos eléctricos del centro de datos.
 …
 Los sistemas de control de acceso deben ser flexibles y confiables para
+controlar, supervisar, registrar y verificar los datos de acceso para permitir
+controlar, supervisar, registrar y verificar los datos de acceso a efectos
+de permitir
 el acceso del personal autorizado para ingresar a las instalaciones
 o áreas restringidas de la institución. Los sistema de control de acceso
 …
 el control debe ser tan estricto como en el horario normal.
+\item Identificar, controlar y vigilar las actividades que realizan las terceras personas
+durante su estadía en el centro de datos. Entre las personas que se consideran como
+terceras personas están los visitantes, personal de limpieza, personal de
+mantenimiento de los diferentes equipos.
+\item Identificar, controlar y vigilar las actividades que
+realizan las terceras personas
+durante su estadía en el centro de datos. Entre las personas
+que se consideran como terceras personas están los visitantes,
+personal de limpieza, personal de mantenimiento de los diferentes equipos.
 \item Instalación de Torniquetes.
 …
 \item Utilizar detectores de movimiento.
+\item Utilizar tarjetas de identificación o cualquier otro mecanismo de por lo menos Nivel 2\footnote{El Nivel 2 indica que el usuario autorizado para ante un sistema de control debe presentar algo que sabe (contraseña) y algo que tiene (tarjeta)}  .
+\item Utilizar tarjetas de identificación o cualquier otro mecanismo
+de por lo menos Nivel 2\footnote{El Nivel 2 indica que el usuario
+autorizado para ante un sistema de control debe presentar algo
+que sabe (contraseña) y algo que tiene (tarjeta)}.
 \item Utilizar control de aperturas de puertas.
 \item Utilizar control de acceso mediante sistemas electrónicos con tarjetas de
 proximidad .
+\item Utilizar control de acceso mediante sistemas electrónicos
+con tarjetas de proximidad.
 \end{itemize}
 \subsection{Sistema de aire acondicionado}
+Los equipos modernos de computación generan grandes cantidades de calor, es por ello que se debe contar con un sistema de aire acondicionado para mantener una temperatura o clima adecuado que permita que los equipos funcionen bien. En este sentido, se tiene que considerar lo siguiente:
+\begin{itemize}
+\item Considerar los riesgos que representa los aires acondicionado, el mal funcionamiento ocasiona que los equipos sean apagados, se pueden producir incendios e inundaciones.
+\item El aire acondicionado debe ser exclusivo para el centro de datos por las condiciones especiales que se requieren.
+\item Se debe contar con aire acondicionado de respaldo, en el caso que el principal presente problemas.
+Los equipos modernos de computación generan grandes cantidades de calor,
+es por ello que se debe contar con un sistema de aire acondicionado para
+mantener una temperatura o clima adecuado que permita que los equipos
+funcionen bien. En este sentido, se tiene que considerar lo siguiente:
+\begin{itemize}
+\item Considerar los riesgos que representan los aires acondicionado,
+cuyo mal funcionamiento ocasiona que los equipos deban ser apagados, o se pueden
+producir incendios e inundaciones.
+\item El aire acondicionado debe ser exclusivo para el centro de datos
+por las condiciones especiales que se requieren.
+\item Se debe contar con aire acondicionado de respaldo, en el caso
+que el principal presente problemas.
 Con esto se evita que se tengan que apagar los equipos computacionales.
 …
 computación.
+\item Tener los controles y las alarmas de temperatura y humedad que permitan la detección y la acción oportuna de corrección de los niveles de temperatura y humedad sin afectar los equipos de computación del centro de datos.
+\item Tener la suficiente capacidad de los equipos de aire acondicionado en función de las necesidades de los equipos instalados en el centro de datos y su posible tasa de crecimiento.
+\item Tener los controles y las alarmas de temperatura y humedad
+que permitan la detección y la acción oportuna de corrección de
+los niveles de temperatura y humedad sin afectar los equipos de
+computación del centro de datos.
+\item Tener la suficiente capacidad de los equipos de aire acondicionado
+en función de las necesidades de los equipos instalados en el centro de
+datos y su posible tasa de crecimiento.
 \end{itemize}
 …
 \begin{itemize}
+\item Los materiales de las paredes y de los techos deben ser resistentes al fuego.
+\item Los materiales de las paredes y de los techos
+deben ser resistentes al fuego.
 \item Se debe incorporar canales aislantes en los espacios físicos.
 …
 \item Se debe contar con detectores de fuego alejado del aire acondicionado.
+\item Las alarmas de fuego deben estar conectadas al sistema de detección temprana de humo.
+\item Las alarmas de fuego deben estar conectadas al sistema
+de detección temprana de humo.
 \item Disponer de equipos contra fuego como extintores.

maquetacion/capitulo2/seguridadFisicaPuestosTrabajo.tex

-                      rc1c9daf
+                      rf6f92c7
 \item Las ubicación de los equipos  y el cableado deben ser colocados de tal
 manera que se evite golpes u otros hechos que puedan acarrear su daño o
 alteración. Los cables no pueden ser pisados ni cortados, ni se les debe colocar
+manera que se evite golpes u otros sucesos que puedan acarrear su daño o
+alteración. Los cables no deben ser pisados ni cortados, ni se les debe colocar
 otros objetos encima o contra ellos.
 …
 \item Contar con planes de mantenimiento de los equipos de los puestos de
 trabajos, en concordancia con las especificaciones de valores y servicios
 recomendados por el proveedor de los equipos. De esta manera se pueda alargar
 su la vida útil y se pueden detectar a tiempo fallas graves.
+trabajo, en concordancia con las especificaciones de valores y servicios
+recomendados por el proveedor de los equipos. De esta manera se puede alargar
+su vida útil y se pueden detectar a tiempo fallas graves.
 \end{itemize}

maquetacion/capitulo2/seguridadLogicaCentroDatos.tex

-                      rc1c9daf
+                      rf6f92c7
 realizadas en los equipos de computación.
+\item Utilizar buenas prácticas de seguridad en el uso y selección de las contraseñas (ver
+\item Utilizar buenas prácticas de seguridad en el uso y selección
+de las contraseñas (ver
 sección \ref{section:gestionDeContrasenas}).
 …
                 \item Instalar los últimos parches de seguridad y actualizaciones
+                publicadas por el fabricante. Convendría comprobar su correcto funcionamiento
+                en otra maquina de pruebas antes de su uso en la máquina de
+producción.
+                publicadas por el fabricante. Conviene comprobar
+                su correcto funcionamiento
+                en otra maquina de pruebas antes de su uso en la máquina
+                de producción.
                 \item Utilizar sólo los protocolos y servicios necesarios.
+                \item Activar los registros de actividades de los servidores (\textit{logs}).
+                \item Activar las bitácoras de actividades
+                en los servidores (\textit{logs}).
+                \item Disponer de una copia de seguridad completa del sistema operativo de
+                cada servidor tras una configuración correcta.
+                \item Disponer de una copia de seguridad completa del
+                sistema operativo de cada servidor tras una configuración
+                correcta.
                 \item Instalar herramientas que permitan comprobar la integridad de los
                 archivos del sistema.
+                \item Instalar herramientas que permitan comprobar
+                la integridad de los archivos del sistema.
                 \item Modificar el mensaje de inicio de sesión para evitar que no se pueda
                 mostrar información sobre la configuración y recursos del sistema a un
                 posible atacante.
+                \item Modificar el mensaje de inicio de sesión para evitar
+                que no se pueda mostrar información sobre la configuración
+                y recursos del sistema a un posible atacante.
         \end{itemize}
 …
 respectivos roles y niveles de acceso a los activos de la institución
+\item Eliminar o bloquear inmediatamente los privilegios de acceso de los usuarios que han cambiado de área, departamento o han dejado la institución.
+\item Eliminar o bloquear inmediatamente los privilegios de acceso de
+los usuarios que han cambiado de área, departamento
+o han dejado la institución.
 \end{itemize}

maquetacion/capitulo2/seguridadLogicaPuestosTrabajo.tex

-                      rc1c9daf
+                      rf6f92c7
 asignado a un miembro de la organización, el cual tiene la responsabilidad de
 usarlo siguiendo las políticas de la organización y en particular las
 específicas sobre seguridad de la información. Entre las recomendaciones
+que sean específicas sobre seguridad de la información. Entre las recomendaciones
 referentes a controles para los puestos de trabajo se listan las siguientes:\\
 \begin{itemize}
+\item Determinar y clasificar el grado de criticidad de la información que se maneja en
+\item Determinar y clasificar el grado de criticidad de la
+información que se maneja en
 los sistemas de almacenamiento ubicados en los puestos de trabajo.
+\item Las contraseñas  de administración de los equipos computacionales sólo deben ser conocidas por las personas responsables del
+puesto de trabajo. La contraseña principal de acceso a cada equipo debe ser seleccionada siguiendo las recomendaciones propuestas en la
+\item Las contraseñas  de administración de los equipos computacionales
+sólo deben ser conocidas por las personas responsables del
+puesto de trabajo. La contraseña principal de acceso a cada equipo
+debe ser seleccionada siguiendo las recomendaciones propuestas en la
 sección \ref{section:gestionDeContrasenas}.
 …
 \item Definir políticas para generar, eliminar, y modificar las claves de
+usuarios en los puestos de trabajo evitando la carga de trabajo para las personas.
+usuarios en los puestos de trabajo evitando la
+carga de trabajo para las personas.
 \item Mantener el sistema operativo y aplicaciones actualizadas.
+\item Mantener actualizados el sistema operativo y las aplicaciones.
 \item Utilizar herramientas y procedimientos que verifiquen la integridad y
+la fuente de los paquetes a instalar (mecanismos de verificación de integridad y autoría).
+la fuente de los paquetes de software a instalar (mecanismos de verificación de
+integridad y autoría).
+\item Utilizar el correo institucional con la activación de métodos criptográficos
+\item Utilizar el correo institucional con la
+activación de métodos criptográficos
 para proteger la confidencialidad e integridad de los mensajes.

Note: See TracChangeset for help on using the changeset viewer.

Download in other formats: