martes, 16 de febrero de 2016

Plan de Contingencias : Metodologia "Universal"






Procedimientos y Planes de Contingencia Metodología “Universal”


Independientemente de la metodología que se elija para el desarrollo del Plan de Contingencias, o que se desarrolle una propia, existen ciertas constantes que deben aparecer en cualquier plan de este género. En el marco teórico que se presenta a continuación, se proporcionan estos elementos; con ello se puede desarrollar una metodología propia o adaptar una existente. Además, podemos denominar a esta metodología como “universal” porque con ella se puede desarrollar planes de contingencia no sólo para sistemas, sino para cualquier otra área o empresa de cualquier giro o tamaño que resida en cualquier lugar.

1. Conceptualización del Fenómeno de Desastre

         1. La producción de Desastres

El desastre, en términos generales, se considera como un evento, frecuentemente concentrado en tiempo y espacio, en el cual la sociedad una parte de ella sufre severos daños, de gran magnitud y extensión, e incurre en pérdidas para sus miembros, de tal manera que su estructura social ya administrativa se desajusta, impidiendo la realización de sus actividades esenciales, afectando su funcionamiento y operación normales, perjudicando crucialmente su capacidad de afrontar y combatir la situación de emergencia.
Se pueden identificar dos sistemas interactuantes responsables por la problemática de desastres. Por un lado, el sistema perturbador (SP), que corresponde a aquel capaz de generar o producir calamidades y, por el otro, el sistema afectable (SA), integrado por el hombre (personal), bienes (hardware, software, información, comunicaciones), el medio ambiente (centro de cómputo, aire acondicionado, etc.) y servicios necesarios para subsistencia (energía eléctrica, servicios portadores), expuestos a las calamidades, las cuales pueden provocar daños en éste y, consecuentemente el desastre.

El análisis de la relaciones entre el SP y el SA muestra que las calamidades como productos del SP están interrelacionadas entre sí, en tal forma que la ocurrencia y características de una pueden verse modificadas por las otras. Esta interrelación se denomina retroalimentación SP-SP.

Así mismo, el estado del sistema afectable puede activar o reprimir la producción de calamidades por el SP. Esta interrelación se denomina retroalimentación SA-SP.

Finalmente, se observa situaciones cuando el sistema afectable influye sobre su propio comportamiento y estado, de tal manera que se agrava o disminuye el desastre, o se abandona o fortalece el estado normal; por ejemplo la interrupción del servicio eléctrico implica la suspensión del servicio de procesamiento de datos. Este tercer tipo de interrelación se denomina retroalimentación SA-SA.



          2. La regulación

Para disminuir la ocurrencia de los desastres, surgen dos posibilidades: una, de intervenir en el proceso de producción de las calamidades, con el fin de impedir o disminuir su ocurrencia, y la otra, de cambiar el estado y función del sistema afectable para disminuir las consecuencias del impacto desastroso (ver figura 5.5). La primera corresponde al objetivo de prevención; la segunda, al objetivo de mitigación; ambas constituyen el objetivo general de reducción de riesgos o de protección (ver figura 5.6).

El sistema regulador tiene que alcanzar todos estos objetivos, apoyándose en la información sobre el estado actual de los SP y SA, y a través de la previsión, toma de decisiones y de la ejecución de una multitud de diversas acciones, tanto antes como durante y después del desastre, organizadas en el tiempo y apoyadas con recursos correspondientes, por medio de equipos con responsabilidades bien definidas.


2. Elementos fundamentales del marco conceptual

           1.Estudios básicos del sistema perturbador


El estudio del sistema perturbador (SP) se inicia con la identificación, definición y clasificación de las calamidades potenciales que puede producir. Tradicionalmente se ha distinguido por las llamadas naturales y de origen humano.

Los fenómenos destructivos naturales pueden ser de origen geológico y de origen hidrometeorológico. Los fenómenos destructivos de origen humano son principalmente los llamados socio-organizativos.

Sin embargo, hay ciertas calamidades cuyo origen está relacionado tanto con los procesos naturales, como con las acciones humanas que las provocan. En este sentido, las calamidades físico-químicas y sanitarias son de origen mixto.

Un factor crucial en el desarrollo del marco conceptual para conocer, explicar y controlar las calamidades, constituye la definición de sus características, así como la descripción y estimación de sus impactos.

En relación con los impactos, que constituyen la más importante característica de la calamidad, se define dos tipos básicos, los primarios y los agregados.

Entre los primarios se distinguen, según su forma de manifestación, los mecánicos, térmicos, químicos, eléctricos, radiológicos, bacteriológicos y psicológicos, mientras que los agregados se dividen en biológicos, productivos, sociales y políticos.




              2. Estudios básicos del sistema afectable


  • El estudio de los sistemas afectables empieza con la consideración de que los asentamientos humanos, por su propensión a las diversas calamidades y debido a la alta densidad poblacional y complejidad de sus servicios, resultan con mayores pérdidas humanas, daños materiales y otras consecuencias desastrosas.
  • Para estimar el riesgo latente en un sistema afectable, es necesario conocer el estado y vulnerabilidad de cada uno de los subsistemas que lo componen.
  • En este sentido, el estado de un sistema se define como una característica global que está determinada por un conjunto de valores en que s encuentran los parámetros relevantes para su funcionamiento en un momento dado. Se distinguen cuatro tipos de estado:
  • Estado normal de un sistema: se presenta cuando su funcionamiento garantiza el logro de su finalidad.
  • Estado insuficiente de un sistema: ocurre cuando, en su funcionamiento normal, se presenta alguna alteración no significativa que hace vulnerable al sistema.
  • Estado de desastre de un sistema: aparece cuando su funcionamiento falla, es decir, cuando se presenta una alteración significativa y con tendencia a crecer; se identifica por daños de distintos tipos: humanos, materiales, productivos, sociales, ecológicos, etc.
  • Estado de retorno de un sistema: se caracteriza por la disminución de la alteración y por la recuperación progresiva de su funcionamiento normal.

Para determinar el estado en que se encuentra un sistema, es necesario el conocimiento de los rangos permisibles para cada uno de los parámetros que caracterizan al mismo.

Una característica integral del sistema es la vulnerabilidad, considerada como medida de susceptibilidad al daño y la intensidad del impacto. Su forma típica se muestra en figura 5.7. Se observa que la primera parte de la curva se refiere a los niveles de intensidad relativamente bajos que normalmente se absorben por el propio sistema sin sufrir daños sensibles; por su parte, la última corresponde al caso de su destrucción o inutilización completa.

El concepto de vulnerabilidad de un sistema es general, por lo que su evaluación puede realizarse tanto a través de la información histórica como del conocimiento de los mecanismos y estructura interna del sistema. En la segunda opción, la evaluación de la vulnerabilidad de un sistema complejo se realiza a través del análisis de sus estructuras y de la estimación de las vulnerabilidades de los subsistemas, partes, componentes y elementos que lo integran; por lo que es posible identificar los que son críticos y buscar consecuentemente las medidas para disminuir su vulnerabilidad y, por ende, la del sistema en su totalidad.


                3. Sistema regulador




En el caso del proceso de control de desastres surgen dos objetivos generales: uno, encaminado a reducir los riesgos, que integra los objetivos de prevención y de mitigación, antes de la ocurrencia del desastre; el otro, atender la situación de emergencia, durante la respuesta, que engloba los objetivos de auxilio y de recuperación (figura 5.6).

La reducción de riesgos, es decir, de los probables daños que pueden producir las calamidades en el SA, implica la necesidad de determinar los fenómenos destructivos, a los cuales está propenso el SA, y de estimar sus características relevantes. Posteriormente, implica la necesidad de intervenir en los mecanismos de su producción, en el SP, con el fin de prevenir so concurrencia y disminuir sus impactos.

Asimismo el riesgo depende de la vulnerabilidad del SA, que a su vez, se define por la vulnerabilidad de sus componentes y elementos. Es por ello que la reducción de riesgos también depende, en gran parte, de la eficiencia en la disminución de la vulnerabilidad, por medio del reforzamiento estructural del SA o de la modificación adecuada de su funcionamiento.

El otro objetivo general, el de restablecimiento, implica la necesidad de realizar los preparativos durante la situación normal para asegurar el logro de los objetivos de rescate y recuperación en caso de desastre.

Los preparativos contemplan el establecimiento de la organización relevante, incluyendo los equipos de recuperación de emergencias, la integración y capacitación de su personal, la elaboración de planes y programas de acción, realización de los simulacros pertinentes así como el suministro de dispositivos, equipos y materiales necesarios para su operación en caso de desastre. Asimismo, debe tomarse en cuenta a los cuerpos especializados de rescate y atención de emergencias de la localidad, así como los planes de protección civil y de respuesta a desastres.

El rescate o auxilio constituye el objetivo medular de la fase de respuesta y está integrado por las once funciones principales que se listan a continuación:

  • Alerta: Avisa tanto a los probables afectados, como a los responsables de la atención de emergencia.
  • Reconocimiento de daños: Conocer y evaluar el estado actual de daños.
  • Concreción del plan de emergencia. Revisar constantemente el plan de atención d emergencias, de acuerdo con la situación presentada.
  • Coordinación de auxilio: Asegurar la congruencia, compatibilidad y sincronización de los esfuerzos de los diversos organismos.
  • Seguridad: Orientada a proteger no solo la integridad física sino también el patrimonio (recursos informáticos, hardware y software).
  • Rescate: Contempla la búsqueda y salvamento de los recursos.
  • Servicios estratégicos, equipamiento y bienes: Consiste en restablecer el funcionamiento de los servicios básicos afectados.
  • Salud: Proporcionar y coordinar la atención médica al personal afectado durante el desastre.
  • Aprovisionamiento: Realiza, administra y coordina el acopio, distribución y control de los elementos requeridos para sustentar las actividades básicas.
  • Comunicación social de emergencia: Busca logar la participación de todo personal y crear una atmósfera de confianza.
  • Reconstrucción inicial y vuelta a la normalidad: Recuperar las condiciones de normalidad, rehabilitando el funcionamiento de los sistemas afectados.

El último objetivo, el de recuperación, concluye la fase de emergencia y corresponde al estado de retorno; es uno de los más importantes, debido a que su inadecuado planteamiento puede agravar el desastre y producir consecuencias mucho más graves que el fenómeno destructivo por sí mismo.

Publicado por en No hay comentarios:

jueves, 4 de febrero de 2016

INFRAESTRUCTURA Y INSTALACIÓN DE UN CPD


INFRAESTRUCTURA Y INSTALACIÓN DE UN CPD


Para montar un cpd necesitaremos un edificio que conste de la infraestructura necesaria para resistir a los distintos tipos de adversidades meteorológicas.

Nuestro emplazamiento deberá contar además con un correcto sistema de ventilación que permitirá mantener el cpd refrigerado con el objetivo de evitar altas temperaturas o sobrecalentamiento del mismo.

A su vez el cpd y el edificio en si deberá constar de un correcto sistema de extinción en caso de incendio, para prevenir así posibles daños en nuestros servidores. Sumando a este sistema de prevención de riesgos deberíamos incluir un medio de abastecimiento de energía de reserva para dotar de electricidad a nuestro cpd en caso de un fallo en el sistema eléctrico.

Detallados todos estos requisitos podríamos finalizar añadiendo una correcta estructura por la que nuestros técnicos puedan circular por el cpd sin problema de chocar con cualquier cable situando estos en un falso techo o un falso suelo permitiendo así su correcta reparación y/o manipulación de una manera rápida y con mayor eficacia.


Publicado por en No hay comentarios:

viernes, 4 de diciembre de 2015

TEMA 3: CPD



¿Que es un CPD?





Se denomina centro de procesamiento de datos (CPD) a aquella ubicación donde se concentran los recursos necesarios para el procesamiento de la información de una organización. Dichos recursos consisten esencialmente en unas dependencias debidamente acondicionadas, ordenadores  y redes de comunicaciones.



El diseño de un centro de procesamiento de datos comienza por la elección de su ubicación geográfica y requiere un equilibrio entre diversos factores:
  • Coste económico: coste del terreno, impuestos municipales, seguros, etc.
  • Infraestructuras disponibles en las cercanías: energía eléctrica, carreteras, acometidas de electricidad, centralitas de telecomunicaciones, bomberos, etc.
  • Riesgo: posibilidad de inundaciones, incendios, robos, terremotos, etc.
Una vez seleccionada la ubicación geográfica es necesario encontrar unas dependencias adecuadas para su finalidad, ya se trate de un local de nueva construcción u otro ya existente a comprar o alquilar. Algunos requisitos de las dependencias son:
  • Doble acometida eléctrica.
  • Muelle de carga y descarga.
  • Montacargas y puertas anchas.
  • Altura suficiente de las plantas.
  • Medidas de seguridad en caso de incendio o inundación: drenajes, extintores, vías de evacuación, puertas ignífugas, etc.
  • Aire acondicionado, teniendo en cuenta que se usará para la refrigeración de equipamiento informático.
  • Almacenes.
  • Orientación respecto al sol (si da al exterior).
  • Etc.
Incluso cuando se disponga del local adecuado, siempre es necesario algún despliegue de infraestructuras en su interior:
  • Falsos suelos y falsos techos.
  • Cableado de red y teléfono.
  • Doble cableado eléctrico.
  • Generadores y cuadros de distribución eléctrica.
  • Acondicionamiento de salas.
  • Instalación de alarmas, control de temperatura y humedad con avisos SNMP o SMTP.
  • Facilidad de acceso (pues hay que meter en él aires acondicionados pesados, muebles de servidores grandes, etc).
  • Etc.
Una parte especialmente importante de estas infraestructuras son aquellas destinadas a la seguridad física de la instalación, lo que incluye:
  • Cerraduras electromagnéticas o biometricas
  • Torniquetes.
  • Cámaras de seguridad.
  • Detectores de movimiento.
  • Tarjetas de identificación.
  • Etc.
Una vez acondicionado el habitáculo se procede a la instalación de las computadoras, las redes de área local, etc. Esta tarea requiere un diseño lógico de redes y entornos, sobre todo en áreas a la seguridad. Algunas actuaciones son:
  • Creación de zonas desmilitarizadas (DMZ).
  • Segmentación de redes locales y creación de redes virtuales (VLAN).
  • Despliegue y configuración de la electrónica de red: pasarelas, enrutadores, conmutadores, etc.
  • Creación de los entornos de explotación, pre-explotación, desarrollo de aplicaciones y gestión en red.
  • Creación de la red de almacenamiento.
  • Instalación y configuración de los servidores y periféricos.
  • Etc.








ELEMENTOS DE UN CPD


A continuación detallamos una serie de componentes o elementos de un CPD, los cuales son de carácter primordial para su implantación y posterior mantenimiento.


FORRADO DE PAREDES/TABIQUES


Tabiquería de pladur RF (según resistencia al fuego que sea aconsejable, RF-60, 90, 120, etc.) formada por una estructura de perfiles de chapa de acero galvanizado de 70mm. de ancho, a base de Montantes (elementos verticales) colocados cada 600mm., y Canales (elementos horizontales), a cuyo lado externo se atornillan placas según resistencia al fuego que se vaya a instalar (RF-60, 90, 120, etc.), placas KNAUF tipo FOC de 15mm. de espesor, dando un ancho total del tabique terminado de 115 mm. Según normativa vigente.



SUELO Y TECHO TÉCNICO



Suelo técnico, loseta de 600x600x30, revestimiento superior estratificado, contra cara en aluminio, núcleo aglomerado prensado y cantos perimetrales en PVC.

El suelo técnico elevado está compuesto por baldosas y la estructura que las sustenta. Sus múltiples usos se basan en que por debajo de él puede transitar todo lo que conlleva una instalación en general (cables, tuberías de cualquier tipo, aire acondicionado, etc.).

Techo técnico formado por una estructura de perfiles de chapa de acero galvanizado de 24mm. Ésta, revestida por una lámina prelavada en su cara vista, en color blanco, modulada, basada en perfiles angulares perimetrales, primarios y secundarios, debidamente fijada, formando una cuadrícula de 600x600mm., y sobre la cual se colocan, simplemente apoyados, los paneles de sulfato cálcico acabado en canto recto de 600x600mm. y 12mm. de espesor.


PUERTA CORTAFUEGOS




Puerta cortafuegos RF (según resistencia al fuego que sea aconsejable RF-60, 90, 120, etc.) de gran robustez, derivada de una construcción con chapas de acero zincadas. Todo el proceso de fabricación de la puerta blindada está estudiado hasta el último detalle para ofrecer un gran nivel de comportamiento frente al fuego. La puerta cortafuegos tendrá la siguiente estructura:

· Una/dos hojas.

· Barra antipánico.

· Ojo de buey.

Su función es la de resistir al incendio con relación a las características de comportamiento al fuego dadas en el apartado 5 de la norma UNE-EN 13501-2:2004.


INSTALACIONES ELÉCTRICAS






Del buen funcionamiento del suministro de energía dependen todos los servicios de proceso y comunicaciones de la empresa. La instalación debemos dotarla de un cuadro específico para los servicios de información, comprobando la calidad de la tierra, y dimensionándolo para futuros crecimientos. Los materiales (interruptores, magnetotérmicos, diferenciales, etc.) se instalarán con las últimas tecnologías para conexiones en caliente.

Las líneas desde el cuadro de distribución deben realizarse por canalizaciones de cable (normalmente bajo falso suelo), recomendando la utilización de una línea para cada equipo o grupo homogé­neo de equipos.

Para eventuales cortes en el suministro se recomienda la instalación de un equipo SAI y en determinadas ocasiones, el respaldo de un grupo electrógeno de continuidad.


PINTURA NO PROPAGADORA DEL FUEGO

Las pinturas no propagadoras son resinas y cargas caracterizadas por no propagar el fuego. Están especialmente indicadas en zonas de alto riesgo de incendios, salidas de emergencia o zonas de evacuación.

Las pinturas ignífugas, pinturas resistentes al calor o pinturas intumescentes, pueden resistir hasta 600ºC, empleando como pigmento polvo de aluminio o granito y vehículos a base de aceites minerales, que con el calor se queman más o menos, y el pigmento se une sólidamente al soporte. Se emplean también cuerpos amónicos que, por la acción del calor, desprenden amoníaco gaseoso, formando una capa aislante y ácido bórico, fosfatos y silicatos, que le otorgan una costra incombustible.


CLIMATIZACIÓN




Equipos de climatización específicos para salas, el micropro-cesado de control de temperatura y humedad.

Para poder mantener el nivel de temperatura adecuado de los locales técnicos, así como el grado de humedad dentro de los límites medios de temperatura y humedad, se proponen dotaciones de equipos de climatización específicos para salas informáticas, del tipo servicio total, controlado por microprocesador y capaz de producir frío , calor y humectar o deshumectar de forma automática. Calor dentro de unos márgenes de ± 1º C y ± 2% HR, para valores de funcionamiento previstos de 21ºC y 60% HR.

Las unidades de climatización se calculan para un funcionamiento continuo 24h/días y 365 días/año y su potencia frigorífica para una tempera­tura de bulbo seco interior de 24ºC será capaz de mantener las características de las salas para las variaciones de temperatura ambiente medias actuales y para el 120% de la carga total de los locales (carga eléctrica + aportaciones de los locales + iluminación + presencia no continua de personas en sala).






ARMARIOS IGNÍFUGOS PARA EQUIPOS-DATOS





Los equipos y soportes de datos que se encuentran en locales sin medidas especiales de seguridad, son especialmente vulnerables ante riesgos de manipulación indebida, incendios o radiaciones, que pueden alterar y destruir el contenido de los mismos.

Las copias de back-up o los servidores de respaldo, también han de contar con protección ante eventuales riesgos que puedan afectar al servicio que deben proporcionar.

Los armarios ignífugos para datos, rack y equipos, proporcionan la más alta protección ante todo tipo de agentes externos como incendios, explosivos, acceso, gases, radiaciones y daños criminales.


CCTV






Las cámaras de red representan una manera sencilla de capturar y distribuir imágenes de vídeo de gran calidad a través de cualquier tipo de red IP o de Internet.

Las imágenes se pueden visualizar utilizando un navegador Web estándar y pueden almacenarse en cualquier disco duro.

Con servidor Web incorporado, las cámaras de red funcionan de modo indepen­diente y pueden situarse en cualquier lugar donde exista una conexión de red IP. Permiten visualizar vídeo en vivo de forma remota y gestionar el envío de imágenes de vídeo desde cualquier parte del mundo utilizando un navegador.

Web estándar. Tanto si necesita una solución de vigilancia IP para garantizar la seguridad de personas y lugares, como para supervisar propiedades e instalaciones de modo remoto o retransmitir eventos en la Web con imágenes y sonidos reales.


DETECCIÓN Y LOCALIZACIÓN DE FUGAS DE LÍQUIDOS

Y

DETECCIÓN DE FUGAS DE AGUA







El módulo digital FROGSYS está disponible en las versiones a empotrar o mural. El módulo digital FROGSYS puede controlar de 1 a 180 tramos de cables detectores de forma automática e indepen­diente, e indicar para cada tramo el tipo de alarma, hora y fecha, el nombre de la zona y localización en metros del origen de la fuga.

El módulo FROG diferencia una señal de detección por derrame frente a una señal de defecto de continuidad. Varios relés disponibles permiten explotar estas infor­maciones de manera independiente.

Tres diodos electroluminados sobre el módulo indican la presencia de alimenta­ción, una detección de fuga y un defecto de continuidad. Una tecla de reset permite la anulación manual de la alarma sonora y la reinicialición del sistema a partir de la desaparición del defecto.


SISTEMA ANTI-INTRUSION


Abarca desde la instala­ción de sistemas de seguridad contra el intrusismo conectadas a central receptora de alarmas 24 horas y al mantenimiento de las mismas.

Las alarmas constituyen el mejor sistema de seguridad, espe­cialmente para CPDs disponemos de todo
tipo de instalaciones de Alta Seguridad, con la última tecnología.

Sistemas integrales y actualización de todos los equipos instala­dos, servicio técnico en caso de necesidad con atención inmediata.

· Centrales microprocesadas bidireccionales maneja­das mediante teclado de control.

· Detección volumétrica interior.

· Barreras exteriores perimetrales.

· Equipos de seguridad vía radio.

· Equipos de transmisión móvil (GSM) con sistema módulo Corte de línea, autónomo, inteligente.


CONTROL DE ACCESOS





Las áreas restringidas como los CPDs necesitan una buena gestión de los accesos a la sala. Los sistemas de control de accesos son sistemas creados para la gestión e integración informática de las necesidades de una empresa relacionadas con el control de accesos de sus empleados o de personas ajenas en sus edificios y delegaciones, existen varias opciones de terminales según el nivel de seguri­dad necesario (banda magnética, proximidad, teclado/pin y biométrico).


SISTEMA DE EXTINCIÓN POR GAS




Los sistemas de extinción de incendios usan gases naturales inertes para extinguir los incendios. Básicamente son usados donde los incendios, que han comenzado, deben ser extinguidos rápidamente, y donde es esencial preve­nir subsiguientes daños provocados por los efectos de los agentes de extinción o de residuos. En los sistemas de gases, la descarga es provocada automáticamente por la detección del fuego, aunque también puede ser activada manualmen­te. Una vez provocada la alarma y trans­currido el retardo programado, se produ­ce la descarga de gas en la zona del incendio. Cualquier ventilador o equipo de aire acondicionado se parará simultá­neamente, y las compuertas de ventila­ción y puertas se cerrarán para prevenir que entre aire y/o que se escape el gas extintor, perdiendo de esta manera su capacidad de acción.
SISTEMA DE EXTINCIÓN DE AGUA NEBULIZADA SISTEMAS HI-FOG






Sin duda, los sistemas de protección de incen­dios mediante agua nebulizada, son los que mayor interés han despertado y continúan despertando, en la comunidad de protección de incendios. Usuarios, investigadores, ingenieros, aseguradores, y en general, todos los profesionales relacionados con el mundo de la protección contra incendios han trabaja­do o seguido de cerca la evolución de estos novedosos sistemas de protección. No resulta fácil compren­der que mientras los sistemas de rociadores conven­cionales tienden a utilizar progresivamente mayores cantidades de agua, nazcan otros sistemas que utilizan cantidades singularmente pequeñas de agua y que paradójicamente resultan más eficaces que los sistemas de rociadores convencionales en numero­sas aplicaciones. Por otro lado, es importante desta­car que los sistemas de extinción por agua nebulizada no son de tipo genérico, ni utilizan principios globales para la extinción del fuego, como es el caso de los sistemas de agua tradicionales o los sistemas de protección por CO2 u otros gases. En los sistemas de agua nebulizada, la eficacia de la extinción, está ligada a las características específicas del diseño y aplicación de los sistemas para los riesgos a proteger, aspectos que son específicos y privativos de cada fabricante.





SAI




Un SAI o Sistema de alimentación Ininterrumpida, también llamado UPS (Uninterruptable Power Supply) es un dispositivo que permite mantener la alimentación eléctrica mediante baterías cuando falla el suministro o se produce una anomalía eléctrica (por ejemplo, una sobretensión) en la red eléctrica.

Sirven, por tanto, para proteger los dispositivos que tienen conectados y mantenerlos en funcionamiento ante alguno de los 9 tipos de anomalía eléctrica: fallo de tensión, bajada o subida de tensión, tensión baja o alta, ruido eléctrico, variaciones de frecuencia, conmutaciones transitorias y distorsiones armónicas. 


Según su topología o forma de funcionamiento se distinguen tres tipos de SAI ó UPS:
  • SAI Off-lineo Stand-By: proporcionan la protección más básica de todas. Portegen contra 3 de los 9 problemas que puede ocasionar la red eléctrica: fallos, subidas y bajadas de tensión. La alimentación en un SAI off-line viene de la red eléctrica y en caso de alguna de las anomálias indicadas en el suministro, el dispositivo empieza a generar su propia alimentación. Debido a que no son activos, hay un pequeño tiempo de conmutación en el que no hay suministro eléctrico, típicamente de entre 2-10 ms. Normalmente generan una forma de onda que no es sinusoidal, por lo que no son adecuados para proteger dispositivos delicados o sensibles a la forma de onda de su alimentación. Su uso más común es en la protección de dispositivos domésticos como ordenadores, monitores, televisores, etc. 

  • SAI In-line: también conocido como de “línea interactiva“. Proporcionan una protección intermedia solucionando 5 de las posibles anomalías eléctricas. Respecto a los SAI off-line, añaden protección contra tensiones bajas o altas que se producen de forma continuada. El funcionamiento es similar al del SAI off-line pero dispone de filtros activos que estabilizan la tensión de entrada (estabilizador de tipo AVR)corrigiendo bajas y altas tensiones cuando la red eléctrica las produce de forma contínua, ampliando de esta manera el grado de protección. Sólo en caso de fallo de tensión o anomalía grave empiezan a generar su propia alimentación. Al igual que los SAI de tipo off-line tienen un pequeño tiempo de conmutación en el que no hay suministro eléctrico, típicamente de 2-10 ms. Habitualmente generan una forma de onda pseudo-sinusoidal de mayor calidad que los SAI off-line o sinusoidal pura en el caso de los modelos sinusoidales y profesionales. Su uso más común es la protección de dispositivos en hogares con tensiones anómalas, pequeños comercios o empresas, ordenadores, monitores, dispositivos de red como routers y switches, cámaras de seguridad y videograbadores, etc. Los SAI in-line con salida sinusoidal pura están indicados para proteger bombas y moteres eléctricos, equipos más sensibles y sofisticados como servidores, ordenadores con fuentes PFC activo, instrumentación de laboratorio y equipos sofisticados en entornos de trabajo donde se requiera una protección silenciosa de calidad. 

  • SAI On-line: la topología más sofisticada de todas. Ofrece protección completa contra los 9 problemas que puede haber en el suministro eléctrico: fallo de tensión, bajada o subida de tensión, tensión baja o alta, ruido eléctrico, variaciones de frecuencia, conmutaciones transitorias y distorsiones armónicas.El dispositivo genera continuamente una alimentación limpia con una onda sinusoidal pura gracias a la tecnología de doble conversión. Este sistema funciona pasando la corriente de la red eléctrica (AC) a corriente continua (DC) mediante una primera conversión realizada por un rectificador, el cual alimenta un bus interno y el cargador de las baterías. Mediante una segunda conversión realizada por un inversior DC/AC se transforma la corriente del bus interno y se genera la salida sinusoidal pura, quedando la carga protegida de cualquier anomalía de la red eléctrica. Como las baterías también están conectadas al bus interno, al producirse un corte de luz, el inversor pasa a alimentarse a partir de ellas sin cortes ni conmutaciones. Por tanto, en caso de fallo o corte en el suministro eléctrico, los dispositivos protegidos no se ven afectados en ningún momento porque no hay un tiempo de conmutación. Sus principales inconvenientes son que las baterías trabajan más, por lo que deben sustituirse con más frecuencia, y que tienen un coste superior al de las demás topologías. Su uso más común es en la protección de cargas críticas y dispositivos delicados o de mucho valor en empresas, tales como servidores, electrónica de red, ordenadores de monitorización, videograbadores y cámaras de seguridad, etc. Puesto que eta tecnología es la más eficiente para proteger cargas grandes, son los modelos más usuales a partir de los 2000VA y los únicos a partir de los 6-10KVA, siendo éstos consumos los habituales en centros de procesamiento de datos o CPD y aplicaciones trifásicas.
Para mas información click aqui

Publicado por en No hay comentarios:

viernes, 13 de noviembre de 2015

TEMA 2 : POLÍTICAS, PLANES Y PROCEDIMIENTOS DE SEGURIDAD

Podríamos definir la política de seguridad como una declaración de intenciones de alto nivel que envuelve la seguridad de los sistemas informáticos. También proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones técnicas y organizativas que se requieran.

 El plan de seguridad es un conjunto de decisiones que definen acciones futuras así como los medios que se van a utilizar para conseguirlos y los procedimientos de seguridad es la definición detallada de los pasos a ejecutar para llevar a cabo una tarea determinada con los procedimientos de seguirdad se aplican e implantan las políticas de seguridad que han sido aprobadas por la organización.


Características deseables de las políticas de seguridad

  • Las políticas de seguridad deben de ser implementadas a traves de procedimientos y publicadas para que el personal las conozca ( Realmente muy necesario).
  • Definir claramente las responsabilidades.
  • Se deben cumplir con las exigencias del entorno legal.
  • Deben revisarse de forma periódica.
  • Se debe de aplicar el principio de defensa en profundidad.
  • Asignación de minimos privilegios.
  • Configuración robusta ante fallos.
  • Las políticas deben de estar adaptadas a las necesidades reales de la empresa.

Definición e implantación de las políticas de seguridad

A la hora de definir las políticas de seguridad es conveniente contemplar los siguientes aspectos:
  1. Alcance.
  2. Objetivos perseguidos y prioridades de seguridad.
  3. Compromiso de la dirección de la organización.
  4. Clasificación de la información.
  5. Analisis y gestión de riesgo.
  6. Elementos y agentes involucrados en la implantación de medidas de seguridad.
  7. Asignación de responsabilidades en los distintos niveles organizativos.
  8. Definición clara y precisa de los comportamientos exigidos y de los prohibidos.
  9. Identificación de medidas, normas y procediminetos de seguridad a implantar.
  10. Gestion de las relaciones conterceros.
  11. Gestion de incidencias.
  12. Planes de contingencias y continuidad.
  13. Cumplimiento de la legislación vigente.
  14. Definición de las posibles violaciones y de las consecuiencias derivadas del incumplimiento de las politicas de seguridad. 

Documento de políticas de seguridad

  • Título: políticas de seguridad.
  • Fechas de publicación.
  • Fechas de entrada en vigor.
  • Fecha prevista de revisión a renovación.
  • Ámbito de aplicación
  • Descripción detallada de los objetivos de seguridad.
  • Persona responsable de la revisión y aprobación.


Seguridad frente al personal
  • EMPLEADOS ( prevención de riesgos laborales ) Plan de contingencias 
  • Cuando se le da de alta a un empleado , tendrán que comunicárselo al DPTO. informático para que cree un informe de sus datos en la base de datos de sus empleados. 
  • Cuando se cambia de DPTO. a un empleado tendrán que comunicárselo al DPTO. informático para modificarlo en la base de datos, pasar un disco duro de su máquina a otra. 
  • Cuando se da de baja a un empleado primero habrá que comunicárselo al DPTO. informática para que le quite permisos innecesarios mientras se hace el procedimiento de baja.Le inabilita la cuenta .Cambiarle el DPTO para que no pueda hacer nada . 


Le darían un nuevo usuario sin permisos , para que tenga algo que hacer mientras dse da de alta la baja .
  • El primer dia que s incorpora ya tiene todo (lo hace recursos humanos , envía la notificaccion a los informáticos que le modifiquen los permisos con un loggin desde cero )( el informatico le tendrá que comunicar el loggin para el nuevo usuario y viceversa , cuando el empleado se halla logeado tendrá que comunicárselo al informatico ) 
  • Funciones , obligaciones y derechos de los usuarios . 
  • Funciones : lo que el usuario tiene que hacer . tarea encomendada asignada a su puesto . 
  • Obligaciones : Fichar antes de entrar todos los días . BACK up diego hacerlo alas 6 , su OBLIGACION es comprobar si se ha realizado correctamente . Alas 5 :55 tiene que mandar un mensaje a todos los usuarios de que todos los usuarios tiene que guardar todos los datos . 
  • Derechos de los usuarios : Privacidad ed los usuarios ( usuario y contraseña ) , ni el administrado s sepa la contraseña ?(+.+)? ( NO HAY PRIVACIDAD ).(@ = empresa)l. 



Seguridad frente al personal 

  • Hay que instruir a tus trabajadores . ( hay que instruir a Diego para poder hacer los back up(cinquenios= las horas de formación tras 5 años de trabajo ) ( para tus empleados hay que hablar de forma coloquial) tutorial. 
  • Dependiendo de su puesto de trabajo tendríamos que instruirles de una forma u otra ( como logearse para un noob , o para un entendido , le explicaras la intranet de la empresa = como a Dani en evotech(con los jefes , no // con una empresa importante , hay que tratarla como a personas importantes )) 
  • Física : Hardware y donde están situados en instalaciones . 
  • Lógica : virus o un software. 
  • Proveedores o clientes : lo que me obliga la ley ( protección de datos) aplicar un alta de empleado , un login.
Publicado por en No hay comentarios:

viernes, 23 de octubre de 2015

TEMA 1. PRINCIPIOS DE LA SEGURIDAD INFORMATICA (parte1)


¿QUE SE ENTIENDE POR SEGURIDAD INFORMÁTICA?

Podemos definir la seguridad informática como una disciplina que se encarga de proteger la integridad y la privacidad de la información que esté en el sistema informático, pero aunque intentes poner la máxima seguridad nunca obtendrás el 100% en seguridad ya que todos los sistemas formativos son violables. Puedes protegerles de una forma tanto lógica como física, pero las maquinas pueden ser infectadas tanto por programas instalados en la misma maquina como por via remota a través de Internet pudiendo que cambien el rendimiento de los equipos o bloquear el usuario del sistema.

Hay ciertos aspectos o cuestiones que están relaciones cuando hablas de seguridad informática como:

  1. El cumplimiento de las regularizaciones legales dentro de cada ámbito.
  2. Mantener un control en el acceso de los servicios que ofrecen y tener la información guardada en un sistema informático.
  3. Controlar el acceso y la utilización de ficheros protegidos por la ley.
  4. Solicitar la identificación del autor de los mensajes o de la información.
  5. Realizar un registro del uso de los servicios de un sistema informático.


La seguridad de la información se define como la conservación de :








  • Confidencialidad: Asegurar que la información es accesible solo para aquellos autorizados a tener acceso.

  • Integridad: garantizar la exactitud de la información y de los métodos de su procesamiento.

  • Disponibilidad: Asegurar que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados.





LAS  NORMAS ISO


Las normas ISO son estándares o normas de seguridad que son establecidas por la Organizacion Internacional para la Estandarización (ISO).

LA FAMILIA ISO

 Las series de normas ISO relacionadas con la calidad constituyen lo que se denomina familia de normas, las que abarcan distintos aspectos relacionados con la calidad:
  • ISO 9000: Sistemas de Gestión de Calidad. Fundamentos, vocabulario, requisitos, elementos del sistema de calidad, calidad en diseño, fabricación, inspección, instalación, venta, servicio post venta, directrices para la mejora del desempeño.
Mas información en : WIKIPEDIA
  • ISO 10000: Guías para implementar Sistemas de Gestión de Calidad/ Reportes Técnicos.Guía para planes de calidad, para la gestión de proyectos, para la documentación de los SGC, para la gestión de efectos económicos de la calidad, para aplicación de técnicas estadísticas en las Normas ISO 9000. Requisitos de aseguramiento de la calidad para equipamiento de medición, aseguramiento de la medición.
Mas información en: WIKIPEDIA
  • ISO 14000: Sistemas de Gestión Ambiental de las Organizaciones. Principios ambientales, etiquetado ambiental, ciclo de vida del producto, programas de revisión ambiental, auditorias.
Mas información: MONOGRAFIAS
  • ISO 19011: Directrices para la Auditoria de los SGC y/o Ambiental
Mas información en: HEREDEROS CONSULTORES



De todas las normas ISO la que nos interesa para la seguridad informática es la norma ISO-7498 que define la seguridad informática como una serie de mecanismos que minimizan la vulnerabilidad de bienes y recursos informáticos. 

La seguridad es un sistema informático que depende de múltiples factores como:
  1. La sensibilización de los directivos y responsables de la organización.
  2. Los conocimientos, capacidades e implantaciones de los responsables del sistema informático.
  3. La formación y responsabilidad de todos los usuarios del sistema.
  4. La correcta instalación, configuración y mantenimiento de equipos
  5. La restricción de la asignación de los permisos y privilegios de los usuarios usando el denominado "mínimo de privilegios".
  6. Mantener actualizado al día el hardware y el software según las indicaciones del fabricante.
  7. Observar la seguridad frente a las amenazas en general ( tanto como del exterior como del interior). Ha esto se le llama: "Principio de defensa en profundidad".
  8. La acomodación de los objetivos de seguridad a las necesidades reales de la empresa.
PRINCIPIOS DE DEFENSA EN SEGURIDAD

Consiste en la implantación y diseño de varios niveles de seguridad dentro del sistema informatico de la organización. Los datos es nuestra prioridad ya que son lo mas sensible y tenemos que proteger.



Objetivos de la seguridad informática

Como objetivo principal, la seguridad informática, pretende minimizar los riesgos, gestionarlos y detectar posibles amenazas o problemas en la información o infraestructuras informática. Otros objetivos son:

  • Garantizar la conveniente utilización de los recursos y de las aplicaciones del sistema.
  • Limitar los daños y conseguir la conveniente recuperación del sistema en caso de un percance de seguridad.
  • Cumplir con el marco legal y los requisitos impuestos por los clientes
Para cumplir estos objetivos se deben de completar cuatro planes de actuación:
  1. Plano técnico, tanto a nivel físico como lógico
  2. plano legal, lo que obliguen las leyes
  3. Plano humano, sensibilización y formación de empleados funciones y obligaciones del personal.
  4. Plan organizativo, definición e implantación de políticas de seguridad.(Planes, normas, procedimientos y buenas practicas de actuación)





Servicios de seguridad de la información



  • Confidencialidad: A través de este servicio se garantiza que cada mensaje trasmitido o almacenado solo se podrá leer por el propio destinatario. Ejemplo: cifrado y ocultación de comunicación.

  • Autenticación: La autenticación garantiza que la identidad del creador de un mensaje o documento es legítima. Ejemplo: entregar en mano a quién quiero darle un usuario y contraseña en concreto.
  • Integridad: Se encarga de garantizar que el mensaje o fichero no ha sido modificado durante su transmisión. Ejemplo: para modificar que te pida unos datos requeridos, un chequeo de validez o un tipo de integridad, ya sea entidad o referencial.

  • No repudiación: Consiste en implementar un mecanismo acreditativo que permita demostrar su envió para que mas tarde no pueda impedir en envió. Ejemplo: certificados digitales, como por ejemplo la firma digital.

  • Disponibilidad: Los recursos del sistema informático es un tema de especial importancia ya que el sistema debe ser robusto para asegurar su correcto funcionamiento y puede estar a disposición de los usuarios. (Mecanismos para solucionar este problema.) Ejemplo: tener una segunda fuente de energía como mínimo, más conocida como SAI, también llamado Sistemas de Alimentación Interrumpida.

  • Autorización: Este servicio intenta controlar el acceso de los usuarios. Ejemplo: para ello se suelen crear las denominadas ACL (Listas de Control de Acceso).

  • Auditación: (También denominado trazabilidad) Permite registrar y monitorizar el empleo de los distintos recursos del sistema. Ejemplo: utilizar programas que auditen lo que queremos saber para tener la información necesaria.

  • Reclamación de origen: Se permite probar quien es el creador del documento o mensaje determinado. Ejemplo: a través de los certificados digitales, al mismo tiempo también podemos utilizar la firma digital.

  • Reclamación de propiedad: Este servicio permite probar que cierto documento con contenido digital está protegido por derechos de autor. Ejemplo: a través de los certificados digitales, al mismo tiempo también podemos utilizar la firma digital.

  • Anonimato en el uso de los servicios: También a veces es conveniente garantizar el anonimato de los usuarios que acceden a los recursos. Ejemplo: utilizar una VPN.

  • Protección a la replica: mediante este servicio se trata de impedir la realización de ataques de repetición. Ejemplo: con autenticaciones como Captcha.

  • Confirmación de la prestación de un servicio: este servicio de seguridad permite confirmar la realización de una operación o transacción reflejando los usuarios o entidades que han intervenido en ella.  Ejemplo: tener acceso digital digital a la información detallada que necesites para poder ver todas las operaciones y transacciones.

  • Referencia temporal: mediante este servicio se consigue demostrar el instante concreto en que se ha enviado un mensaje o se ha realizado una determinada operación. Ejemplo: utilizar un proxy.

  • Certificación mediante terceros de confianza: la realización de todo tipo de transacciones a través de medios electrónicos requieren nuevos requisitos de seguridad para garantizar las partes que intervienen. Existe una figura llamada tercero de confianza que suele ser un organismo que se encarga de certificar la realización y contenido de las operaciones.  Ejemplo: realizar pagos mediante Pay-Pal.


METODOLOGIAS

    1. PDCA: 


  1. PLAN: Selección y definición de medidas y procedimientos
  2. DO: implantación de medidas y procedimiento
  3. CHECK: Comprobación y verificación de las medidas instauradas.
  4. ACT: Actuación para corregir los defectos detectados.
Mas información en : WIKIPEDIA

     2.SGSI:
       
               El SGSI es la abreviatura utilizada para referirse a un sistema de gestion de la información

  • Personas: sensibilización e información, obligaciones y responsabilidad del personal, control y supervisión, y colectivos a considerar.
  • Legislación: Cumplimiento y adaptación a la legislación vigente.
  •  Organización: Políticas, normas y procedimientos; Planes de contingencia y respuesta a incidentes; relaciones con terceros.
  • Tecnología: Selección, instalación, configuración y actualización de hardware y software; encriptación; estandarización del producto.
      Mas información en: WIKIPEDIA



NIVELES DE MADUREZ EN LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

     1ª etapa: Implantación de medidas básicas de seguridad: 
                    De sentido común como copias de seguridad, control de acceso...

     2º etapa: Cumplimiento de la legislación vigente

     3º etapa: Gestión global de la seguridad de la información

     4º etapa: Certificación de la gestión de la seguridad.

Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)