IDENTIFICACIÓN DE LOS CONTROLES DE SEGURIDAD FÍSICA DEL

CENTRO DE DATOS DE LA UNIVERSIDAD AUTONOMA DE OCCIDENTE

KAREN ROCIO MONTES SANTACRUZ

UNIVERSIDAD AUTÓNOMA DE OCCIDENTE

FACULTAD DE INGENIERÍA
DEPARTAMENTO DE OPERACIONES Y SISTEMAS
PROGRAMA INGENIERÍA INFORMÁTICA
SANTIAGO DE CALI
2014
 IDENTIFICACIÓN DE LOS CONTROLES DE SEGURIDAD FÍSICA DEL
CENTRO DE DATOS DE LA UNIVERSIDAD AUTONOMA DE OCCIDENTE

KAREN ROCIO MONTES SANTACRUZ

Proyecto de Grado para optar por el título de

Ingeniero Informático

Director
Miguel José Navas Jaime
Ingeniero de Sistemas

UNIVERSIDAD AUTÓNOMA DE OCCIDENTE

FACULTAD DE INGENIERÍA
DEPARTAMENTO DE OPERACIONES Y SISTEMAS
PROGRAMA INGENIERÍA INFORMÁTICA
SANTIAGO DE CALI
2014
 Nota de aceptación:

Aprobado por el Comité de Grado en

cumplimiento de los requisitos
exigidos por la Universidad Autónoma
de Occidente para optar al título de
Ingeniero Informático.

MARIO WILSON CASTRO

Jurado

SANTIAGO DE CALI, 10 de Julio de 2014

3
 AGRADECIMIENTOS

Se hace muy difícil agradecer a todo el mundo llenando una sola página diciendo
nombres propios, por eso diré los que sinceramente estuvieron conmigo en el
desarrollo de este proyecto y que de una u otra forma depositaron su confianza en
mí, apoyándome y que creyeron en mí sobre mis conocimientos básicos.

Le soy muy agradecida a Dios por permitir que mis padres, Diomedes Montes
Montaño y Melba Cecilia Santacruz Campo, estuvieran conmigo dándome su
apoyo incondicional sobre el trabajo de grado que se realizó con éxito, mis padres
siempre se esmeraron en darme la mejor educación y valores para tener un
excelente progreso en la vida como persona con educación.

A mi hermana Juli Angélica Quintero Santacruz, en ella siempre he recibido

consejos como hermana mayor y ocupa un grandísimo lugar en mi corazón, a ella
también le agradezco por la confianza y el apoyo.

Agradezco a la Universidad Autónoma de Occidente, a los docentes que con su

dedicación y empeño se recibieron sus conocimientos con paciencia para
formarme como una gran profesional, a el Director de Programa de Ingeniería
Informática Cesar Pardo Calvache, quien me brindo apoyo y herramientas para
mi formación profesional y a mi director de proyecto de grado Miguel José Navas
Jaime, quien con me colaboró como guía académico sobre mi proyecto.

De igual manera agradezco a la División de Tecnologías de la Universidad

Autónoma de Occidente, especialmente al Ingeniero Jorge Armando Rojas por
aportarme excelentes conocimientos para mi vida profesional y brindarme la
confianza absoluta sobre el desarrollo de este proyecto.

De igual manera agradezco a mis demás familiares, amigos, y compañeros que

me brindaran su apoyo, confianza y ánimo, para que mis metas y demás
propósitos se cumplieran y que hoy en día se convirtieran en realidad siendo una
gran profesional.

4
 CONTENIDO

pág.

GLOSARIO 12

RESUMEN 13

INTRODUCCIÓN 14

2. ANTECEDENTES 15

3. PROBLEMA DE INVESTIGACIÓN 21
3.1. PLANTEAMIENTO DEL PROBLEMA 21

4. JUSTIFICACIÓN 23

5. OBJETIVOS 24
5.1. OBJETIVO GENERAL 24
5.2. OBJETIVOS ESPECÍFICOS 24

6. MARCO DE REFERENCIA 25
6.1. MARCO TEORICO 25
6.2. NORMA ISO/IEC 31000: 2009 27
6.3. METODOLOGÍA OCTAVE 30
6.4. ESTANDAR DE SEGURIDAD DE LA INFORMACIÓN 34
6.5. NORMA ISO/IEC 27001: 2013 35
6.6. NORMA ISO/IEC 27002: 2013 37
6.7. ANEXO A 38
6.8. SEGURIDAD FÍSICA 40
6.9. ESTANDARES DE SEGURIDAD FÍSICA 44
6.10. NORMA ANSI/EIA/TIA 942 46

7. DESARROLLO DEL PROYECTO 49

5
7.1. FASE 1 – VISTA ORGANIZACIONAL 50
7.1.1. Activos críticos 50
7.1.2. Perfil de amenazas 50
7.1.3. Requerimientos de seguridad 51
7.1.4. Prácticas actuales de seguridad 51
7.2. FASE 2 – VISTA TECNOLOGICA 54
7.2.1. Vulnerabilidades tecnológicas 54
7.3. FASE 3 – ANÁLISIS DE RIESGOS 57
7.3.1. Identificación y evaluación de riesgos 57
7.3.2. Estrategia de protección y planes de mitigación de riesgos 57
7.3.3. Valoración de los campos de la matriz análisis de riesgos 58
[Link]. Valoración del activo 58
[Link]. Riesgo neto 58
[Link]. Riesgo residual 58
7.4. PLANTILLAS 59
7.4.1. Plantilla 01, información sobre el activo del centro de datos 59
7.4.2. Plantilla 02, análisis de riesgos 62
7.4.3. Plantilla 03, controles de la ISO 27002 seleccionados 65
7.5. CRITERIOS DE VALORACIÓN 67
7.5.1. Probabilidad de ocurrencia 67
[Link]. Amenaza 67
[Link]. Vulnerabilidad 67
7.5.2. Relevancia de activo 67
[Link]. Confidencialidad 67
[Link]. Integridad 68
[Link]. Disponibilidad 68
7.5.3. Controles de la organización 68
[Link]. Control 68
[Link]. Controles de la norma 69
7.6. ESCALA DE VALORACIÓN 72
7.6.1. Riesgo neto 72
7.6.2. Riesgo residual 72
7.7. EJEMPLOS 72
7.7.1. Cuadro de ejemplos de activos físicos 72
7.7.2. Cuadro de ejemplos de amenazas informáticas 73
7.7.3. Cuadro de ejemplos de vulnerabilidades 75

8. METODOLOGÍA DE LA INVESTIGACIÓN 76

9. RESULTADOS 78
9.1. ANÁLISIS DE RIESGOS DEL CENTRO DE DATOS 78
9.2. RECOMENDACIONES PARA LOS CONTROLES EXISTENTES 80
DEL CENTRO DE DATOS

6
9.3. POLÍTICA ESPECÍFICA DEL CONTROL DEL ACCESO FÍSICO 80
AL CENTRO DE DATOS

10. CONCLUSIONES 81

11. RECOMENDACIONES 83

BIBLIOGRAFÍA 87

ANEXOS 90

7
 LISTA DE FIGURAS

pág.

Figura 1. Principales fases de la seguridad de la información 26

Figura 2. Relaciones entre los principios, el marco de referencia y los 27

procesos para la gestión del riesgo

Figura 3. El proceso de la metodología octave 31

Figura 4. Componentes del catálogo de prácticas octave 33

Figura 5. La serie de la norma ISO/IEC 27000 34

Figura 6. Dominios de la norma ISO/IEC 27002: 2013 37

Figura 7. Controles de la norma ISO/IEC 27002: 2013 39

Figura 8. Guía de desarrollo metodológico 49

Figura 9. Fase 1 – metodología octave 50

Figura 10. Fase 2 – metodología octave 54

Figura 11. Fase 3 – metodología octave 57

8
 LISTA DE CUADROS

pág.

Cuadro 1. Comparación de métodos biométricos 20

Cuadro 2. Nueva estructura de la norma ISO/IEC 27001: 2013 35

Cuadro 3. Descripción de los estándares de seguridad física 44

Cuadro 4. Prácticas estratégicas – conciencia de seguridad y 53

formación

Cuadro 5. Prácticas estratégicas – estrategia de seguridad 53

Cuadro 6. Prácticas estratégicas – gestión de seguridad 53

Cuadro 7. Prácticas estratégicas – planes de contingencia / 53

recuperación de desastres

Cuadro 8. Prácticas operacionales – seguridad física. Planes de 55

seguridad física y procedimientos

Cuadro 9. Prácticas operacionales – seguridad física. Control de 56

acceso físico

Cuadro 10. Prácticas operacionales – seguridad física. Monitoreo 56

y auditoría de seguridad física

Cuadro 11. Prácticas operacionales – personal de seguridad. 56

Manejo de incidentes

Cuadro 12. Prácticas operacionales – personal de seguridad. 56

Personal de prácticas generales

Cuadro 13. Cuadro descriptivo de activos físicos 59

Cuadro 14. Plantilla 01, Información sobre el Activo del Centro de Datos 61

Cuadro 15. Plantilla 02, Análisis de Riesgos 64

Cuadro 16. Plantilla 03, Controles de la ISO 27002 seleccionados 66

9
Cuadro 17. Cuadro descriptivo de valoración de una amenaza 67

Cuadro 18. Cuadro descriptivo de valoración de una vulnerabilidad 67

Cuadro 19. Cuadro descriptivo de valoración del impacto del activo 68

Cuadro 20. Cuadro descriptivo de evaluación del control de la 69

organización

Cuadro 21. Cuadro descriptivo de los controles de la norma 69

Cuadro 22. Cuadro descriptivo de riesgo residual 72

Cuadro 23. Cuadro de ejemplos de activos físicos 73

Cuadro 24. Cuadro de ejemplos de amenazas informáticas 73

Cuadro 25. Cuadro de ejemplos de vulnerabilidades informáticas 75

10
 LISTA DE ANEXOS

pág.

Anexo A. Información sobre el activo de información 90

Anexo B. Catálogo de prácticas – metodología octave 91

Anexo C. Análisis de riesgos 97

Anexo D. Controles de la ISO 27002 seleccionados 97

11
 GLOSARIO

ESTANDAR: es un modelo para establecimiento, implementación, operación,

seguimiento, revisión, mantenimiento y mejora de un sistema de gestión de la
seguridad de la información cuyo diseño e implementación están influenciados por
necesidades y objetivos, requisitos de seguridad, los procesos empleados, el
tamaño y la estructura de la Organización, para asegurar controles de seguridad
suficientes y proporcionales que protejan los activos de información y brinden
confianza en las partes interesadas.

INFORMACIÓN: es un conjunto organizado de datos procesados, que constituyen

un mensaje que cambia el estado de conocimiento del sujeto o sistema que recibe
dicho mensaje.

ISO (INTERNATIONAL ORGANIZATION FOR STANDARDIZATION): es el

organismo encargado de promover el desarrollo de normas internacionales de
fabricación (tanto de productos como de servicios), comercio y comunicación para
todas las ramas industriales a excepción de la eléctrica y la electrónica. Su función
principal es la de buscar la estandarización de normas de productos y seguridad
para las empresas u organizaciones a nivel internacional.

POLÍTICA: conjunto de normas y procedimientos establecidos por una

organización para regular el uso de la información y de los sistemas que la tratan
con el fin de mitigar el riesgo de pérdida, deterioro o acceso no autorizado a la
misma.

SARI: es un documento que contiene información confidencial de la Universidad.

“Sistema de Administración de Riesgos de la Información”.

SEGURIDAD: cotidianamente se puede referir a la seguridad como ausencia de

riesgo o también a la confianza en algo o alguien. Sin embargo, el término puede
tomar diversos sentidos según el área o campo a la que haga referencia.

12
 RESUMEN

La información es uno de los activos más importantes que tiene una compañía,
por esto se hace necesario que los procesos y sistemas de información que la
gestionan a diario deban ser protegidos de amenazas que afectan la continuidad
del negocio y la no consecución de los objetivos organizacionales.

Actualmente la información vital de una organización se encuentra en equipos

informáticos y redes de datos, también se puede encontrar información vital en
documentos físicos ya sea en carpetas físicas, en libros de contabilidad, etc. Todo
esto hace que dichos equipos, redes o documentos físicos estén expuestos a
diferentes riesgos e inseguridades por cualquier ente como una persona experta
en seguridad informática o una organización externa, esto hace que la información
sea afectada directamente en la disponibilidad, integridad y confidencialidad.

Por lo tanto, para proteger a las organizaciones de estos riesgos es necesario

conocerlas y afrontarlas de una manera adecuada, para ello se deben establecer
unos procedimientos apropiados para mitigar los riesgos, tanto en amenazas
como en vulnerabilidades.

En el presente documento se ilustra el proceso que se debe llevar a cabo en una

organización, en este caso en la Universidad Autónoma de Occidente, para
conocer los riesgos a los que se encuentra expuesto el activo de información el
cual está en el Centro de Datos en la misma Universidad, para luego determinar
una serie de políticas, procedimientos y controles físicos de seguridad de la
información, que permitirán mantener el riesgo en un nivel aceptable por la
dirección de la organización.

Palabras claves: Seguridad de la información, Seguridad informática, Análisis de

Riesgos, Seguridad Física, Controles físicos, Amenazas, Vulnerabilidades, Activos
de Información, Gestión de Riesgos, Norma ISO/IEC 27001 y Norma ISO/IEC
27002.

13
 INTRODUCCION

En la actualidad muchas empresas se relacionan con el tema de la Seguridad

Informática y Seguridad de la Información para proteger la información de su
propia organización. Siendo así que estas organizaciones deben de tener muchos
activos de información importantes que contienen información confidencial de la
misma empresa. Pero no solo debe ser confidencial la información sino también
debe ser privada ya que no todos los empleados deben tener esa disponibilidad de
acceder esa información, es decir, solo personal autorizado puede obtener todo
tipo de datos posibles.

Por lo tanto, la seguridad de la información tiene varias fases que se relacionan

con los sistemas de información. Para ello existe un Modelo de Defensa de
Profundidad que manifiesta toda clase de seguridad que puede tener un sistema
de información, es decir este sistema de información puede ser atacado por un
hacker o un ente de otra organización, y éste modelo protege el sistema mismo y
su propia información.

Para este proyecto se realizará el análisis de seguridad física de los centro de

datos de la Universidad Autónoma de Occidente, identificando sus controles
físicos según la norma ISO/IEC 27002 que es el código de las buenas prácticas;
también se utilizará la norma ISO/IEC 27001 donde se observan los objetivos de
cada fase de la seguridad de la información. Y por último se hará una
identificación de riesgos, análisis de riesgos y evaluación de riesgos, con la ayuda
de la norma ISO/IEC 31000 que trata sobre la gestión de riesgos que puede ser
impactada en una organización.

14
 2. ANTECEDENTES

La seguridad de la información es un concepto que hoy en día todas las

organizaciones tienen en cuenta, unas más que otras pero se maneja para
proteger la información confidencial. Esto se ve nacional o internacionalmente ya
sea en empresas públicas o privadas y en universidades.

A continuación se mostrarán dos proyectos de grado, el primero es de Buenos

Aires que se trata sobre la Metodología para el Aseguramiento de Entornos
Informatizados, y el segundo proyecto de grado se relaciona con La Seguridad en
el Centro de Computo.

En la Universidad de Buenos Aires se encontró una tesis de grado “Metodología

para el Aseguramiento de Entornos Informatizados1”, el cual su propósito es
formalizar una metodología práctica y factible para convertir entornos
informatizados inseguros en entornos protegidos, y lograr una clara evaluación de
los mismos, teniendo en cuenta el objetivo y los procesos del negocio.

Su principal objetivo es proveer a los Ingenieros en Informática el Análisis de

Sistemas de una herramienta con modelos estructurados para que, de forma
ordenada y efectiva, les facilite y les guíe en la tarea de dar informe de las
vulnerabilidades presentes en el entorno en que trabajan y las posibles soluciones,
para luego implementarlas con éxito y así lograr una efectiva protección y
documentación del entorno efectivo.

Cuando se habla de incidentes de Seguridad, o problemas de Seguridad

Informática se refieren a:

 Acceso no autorizado a la información.

 Descubrimiento de información.
 Modificación no autorizada de datos.

1
BISOGNO, María Victoria. Metodología para Aseguramiento de Entornos Informatizados [en
línea]. Trabajo de grado Ingeniero Informático. Buenos Aires: Universidad de Buenos Aires.
Facultad de Ingeniería, 2004. 234 p. [consultado: 14 de Noviembre 2013]. Disponible en:
[Link]

15
 Invasión a la privacidad.
 Denegación de servicios.
Los niveles que cubrirá el proyecto son:

 Nivel físico.
 Nivel lógico.
 Nivel de la organización.

En la parte de Seguridad Física, al momento de asegurar en este nivel, se tiene en

cuenta lo siguiente:

 Protección del acceso a los servidores.

 Protección de los equipos.
 Controlar el acceso del personal y determinar a qué usuarios se le puede
permitir el uso de los distintos recursos y a cuáles se les debe restringir.

En cuanto al alcance a nivel físico el proyecto como tal, tiene en cuenta lo

siguiente:

 Protección del edificio contra el acceso físico no autorizado.

 Protección de las oficinas del sector de Cómputo contra el acceso físico no
autorizado.
 Protección del hardware e instalaciones del sector de cómputo y de ventas
contra el acceso físico no autorizado.
 Protección de la red de comunicaciones de toda la empresa contra el acceso
físico no autorizado.
 Protección de Cables.
 Protección de Servidores.
 Protección de la conexión wireless.

Un proyecto de grado denominado “SEGURIDAD EN EL CENTRO DE

COMPUTO2”, elaborado para obtener el grado de Licenciado en Administración
de Sistemas de Información, presenta los siguientes elementos que como
antecedentes son referente para el presente trabajo:

2
PELÁEZ CÓBAR, Walleska; CHANCHAVAC CON, Silvia Leticia; FLORES VALENZUELA, Jorge
Iván. Seguridad en Centro de Cómputo. Trabajo de Grado Licenciado en Administración de
Sistemas de Información, [en línea], [consultado el 26 de Marzo de 2014]. Disponible en Internet:
[Link]

16
La Seguridad de la Información bajo dos aspectos importantes:

 Negar el acceso a los datos a aquellas personas que no tengan derecho a

ellos, el cual también se le puede llamar protección de la privacidad, si se trata
de datos personales, y mantenimiento de la seguridad en el caso de datos
institucionales.
 Garantizar el acceso, a todos los datos importantes, a las personas que
ejercen adecuadamente su privilegio de acceso, las cuales tienen la
responsabilidad de proteger los datos que se les ha confiado.

2.1. Principales ataques potenciales y destrucción en un Centro de

Cómputo

 Ingeniería Social: Consiste en la manipulación de las personas para que

voluntariamente realicen actos que normalmente no harían; aunque a nadie le
gusta ser manipulado, en algunos casos no es excesivamente perjudicial (por
ejemplo un vendedor puede aplicar ingeniería social para conocer las
necesidades de un cliente y ofrecer así mejor sus productos), si las intenciones
de quien la pone en práctica no son buenas se convierte quizás el método de
ataque más sencillo, menos peligroso para el atacante y por desgracia en uno
de los más efectivos.
 Shoulder surfing: Consiste en “espiar” físicamente a los usuarios, para
obtener generalmente claves de acceso al sistema. Por ejemplo, una medida
que utilizan muchos usuarios para recordar sus contraseñas es apuntarlas en
un papel pegado al monitor de su computador o escribirlas en la parte de abajo
del teclado; cualquiera que pase por delante del puesto de trabajo, sin
problemas puede leer el usuario y clave de acceso, e incluso el nombre de la
máquina a la que pertenecen.
 Masquerading: Consiste simplemente en suplantar la identidad de cierto
usuario autorizado de un sistema informático o su entorno; esta suplantación
puede realizarse en persona o electrónicamente, un usuario utiliza para
acceder a una máquina un login y password que no le pertenecen.
Específicamente en este último caso, la suplantación en persona, es un ataque
relativo tanto a la seguridad física del entorno de operaciones como a la
seguridad del personal.
 Basureo o scavenging: La técnica del basureo está relacionada con los
usuarios como con la seguridad física de los sistemas y consiste en obtener
información dejada o alrededor de un sistema informático tras la ejecución de
un trabajo. El basureo puede ser físico, como buscar en cubos de basura
(trashing, traducido también por basureo), listados de impresión o copias de
documentos, o lógico, como analizar buffers de impresoras, memoria liberada
por procesos, o bloques de un disco que el sistema acaba de marcar como
libres, en busca de información.

17
2.2. Seguridad Física del Centro de Cómputo
La importancia de los sistemas de datos, por su gran incidencia en la marcha de
las empresas, tanto públicas como privadas, los ha transformado en un objeto
cuyo ataque provoca un perjuicio enorme, que va mucho más allá del valor
material de los objetos destruidos.
2.3. Controles de acceso físico
Los controles de acceso físico conectan la información recibida en la red
interconectada de dispositivos y sistemas especializados, al permitir a los centros
de cómputo, la visualización de los distintos eventos y la consecuente toma de
decisiones, que en muchos casos está a cargo de procedimientos preestablecidos,
a fin de permitir a los mismos, tomar las decisiones en situaciones típicas u
ordinarias, es decir, son las mismas máquinas las que proporcionan un nivel de
operatividad y automatismo.
Los métodos de autenticación se dividen en tres categorías:

 Sistemas basados en algo conocido.

 Sistemas lectores.
 Sistemas de autenticación biométricos.

2.4. Sistemas basados en algo conocido: Contraseñas

En todos los esquemas de autenticación basados en contraseñas se cumple el
mismo protocolo: las entidades (generalmente dos) que participan en la
autenticación acuerdan una clave, clave que han de mantener en secreto si
desean que la autenticación sea fiable. Cuando una de las partes desea
autenticarse ante otra se limita a mostrarle su conocimiento de esa clave común, y
si ésta es correcta se otorga el acceso a un recurso.
2.5. Sistemas lectores
Las cuales son:

 Banda magnética: El más familiar y en algunos casos el más conveniente de

los dispositivos de acceso físico es la tarjeta magnética. Tiene el aspecto de
tarjeta de crédito o de documento de identidad. Sin embargo, las tarjetas
pueden extraviarse, ser robadas o entregadas a terceras personas; en sí
mismas no acreditan que el usuario sea la misma persona a quien se le
expidió.
 Código de barras: También pueden usar unidades lectoras de códigos de
barras, al utilizar para su conveniencia, por ejemplo, tarjetas con el código de

18
 barras adherido. Las tarjetas tienen a la par una banda con un código de
barras impresas que es reconocido por un lector de barras.
 Proximidad: Estos se usan para la lectura de códigos enviados por unidades
como por ejemplo tarjetas que al aproximarse a la unidad lectora envían un
código que es recibido por el dispositivo. Este tipo de dispositivos utiliza
tecnología de radio frecuencia para leer la información de la tarjeta.
Dependiendo de la potencia del dispositivo será la distancia que la tarjeta debe
estar para enviar el código de ésta. Los dispositivos de aproximación pueden
ser complementados con un teclado para reconocer un código personal,
además del código de la tarjeta de aproximación; éstas pueden ser integradas
con banda magnética o código de barras.
 Tarjetas inteligentes (smartcards): La tarjeta inteligente es una tarjeta
convencional de plástico, que incorpora un chip en su interior. Este chip está
formado por un microprocesador, una memoria de programa y una memoria de
trabajo estructurada de forma lógica en varias zonas. Exteriormente lo que se
puede observar es una placa de contactos que permiten comunicarse con el
chip. El material empleado en las tarjetas es idóneo dada su durabilidad,
resistencia ante factores externos, buen comportamiento en la impresión y
posibilidad de grabarse en relieve.

2.6. Sistemas de autenticación biométrica

Estos sistemas son basados en características físicas y de comportamiento de
funciones personales del usuario a identificar. El reconocimiento de formas, la
inteligencia artificial y el aprendizaje son las ramas de la informática que
desempeñan el papel más importante en los sistemas de identificación
biométricos. La criptología se limita aquí a un uso secundario, como el cifrado de
una base de datos de patrones retinales, o la transmisión de una huella dactilar
entre un dispositivo analizador y una base de datos. La autenticación basada en
características físicas está desde que existe el hombre y, sin darse cuenta, es la
más utilizada en la vida cotidiana; a diario se identifica a personas por los rasgos
de su cara o por su voz.

En la siguiente tabla se muestra una comparación de los rasgos más generales de

los principales dispositivos biométricos:

19
 Cuadro 1. Comparación de métodos biométricos.
Ojo - Iris Ojo-Retina Huellas Geometría Escritura firma Voz
dactilares de la mano
Fiabilidad Muy alta Muy alta Alta Alta Alta Alta
Facilidad de Media Baja Alta Alta Alta Alta
uso
Prevención de Muy alta Muy alta Alta Alta Media Media
ataques
Aceptación Media Media Media Alta Muy alta Alta
Estabilidad Alta Alta Alta Media Media Media
Identificación y Ambas Ambas Ambas Autenticación Ambas Autenticación
autenticación
Interferencias Gafas Irritaciones Suciedad, Artritis, Firmas fáciles o Ruido,
heridas, reumatismo cambiantes resfriados
asperezas
Utilización Instalaciones Instalaciones Policía, General Industrial Accesos remotos
nucleares, servicios nucleares, servicios industrial en bancos o
médicos, centros médicos, centros bases de datos
penitenciarios penitenciarios
Fuente: PELÁEZ CÓBAR, Walleska; CHANCHAVAC CON, Silvia Leticia; FLORES VALENZUELA,
Jorge Iván. Seguridad en Centro de Cómputo. [en línea], [consultado el 26 de Marzo de 2014].
Disponible en Internet: [Link]

Los dispositivos biométricos tienen tres aspectos principales:

 Disponen de un mecanismo automático que lee y captura imagen digital o

analógica de la característica a analizar.
 Disponen de una entidad para manejar aspectos como la comprensión,
almacenamiento o comparación de los datos capturados con los guardados en
una base de datos (que son considerados válidos).
 Ofrecen una interfaz para las aplicaciones que los utilizan.

20
 3. PROBLEMA DE INVESTIGACIÓN

3.1. PLANTEAMIENTO DEL PROBLEMA

Las empresas actualmente han sido afectadas por muchos factores que se
relacionan con el manejo de la información. Entre esos factores se encuentran los
activos de información que como ya sabemos son cualquier cosa que tenga valor
en una organización. Esa serie de factores están involucradas actualmente en las
organizaciones las cuales son Seguridad Informática y Seguridad de la
Información en donde sus definiciones son totalmente diferentes y para eso se
mostrarán más adelante.

Actualmente la Universidad Autónoma de Occidente cuenta con varios centros de

datos (DataCenter) donde almacenan información que contiene la universidad,
cuya información se puede decir que es sobre los estudiantes, información sobre
los profesores, información sobre los empleados, etc. Pero aquí el problema es
que este centro de datos no cuenta con una seguridad física controlada, es decir
se debe realizar un registro de los controles que tiene el centro de datos por medio
de las normas ISO y normas para la seguridad física de centros de datos, realizar
el registro de los controles y desarrollar las recomendaciones necesarias.

La Universidad cuenta con dos centros de datos, el primero está ubicado en las
oficinas de División de Tecnología, en una de los 4 bloques de aulas que tiene la
Universidad y el otro queda en el Sótano en las oficinas de soporte técnico, pero
este segundo no es un data center como tal, ahí permanece todo lo relacionado
con Redes y Telecomunicaciones. El presente proyecto se enfocará en el Centro
de Datos que se encuentra en las oficinas de División de Tecnologías.

Por lo tanto se identificarán los controles de seguridad física según la norma

ISO/IEC 27001:2005 y la norma ISO/IEC 27002:2005 teniendo control y
organización en el centro de datos que contiene la División de Tecnologías de la
Universidad. Primero se realiza un estudio sobre el centro de datos de la
Universidad, es decir, conocer que contiene el centro de datos, que amenazas y
vulnerabilidades están afectando la organización y por último realizar gestión de
riesgos la cual siguen la norma ISO/IEC 31000:2009. De igual manera se
consideran las normas o estándares que manejan un Data Center, cumpliendo con
lo que describen estas normas. Considerando tres fases importantes de la
seguridad de la información: la confidencialidad, la integridad y la disponibilidad.

21
Se deben considerar los tres pilares de la seguridad de la información, incluyendo
la integridad, que también tiene que ver con la seguridad física, ya que se podría
llegar a la manipulación y transformación de la información.

22
 4. JUSTIFICACIÓN

La Universidad Autónoma de Occidente cuenta en estos momentos con estudios

que tienen control sobre la Seguridad Informática y Seguridad de la información;
con este proyecto la Universidad pretende, para el centro de datos ubicado en las
oficinas de la División de Tecnologías, desarrollar el análisis de la Seguridad
Física.

Se hace un estudio en el cual se identifican los controles que tiene el centro de

datos por medio de normas estipuladas para estandarizar los controles y el
manejo de la seguridad de la información y sobre la gestión de riesgos.

No será necesario contener información sobre este centro de datos ya que sólo es
un análisis físico más no lógico como tal. Para proteger la información de manera
física se aplican los controles que se hallan en el centro de datos.

Las consecuencias que podría ocasionar el no trabajar este proyecto, son primero
que todo los riesgos que tendría la información si no se protegen físicamente los
equipos que la contienen. La segunda consecuencia es que no se desarrollaría
una secuencia sobre los controles de la seguridad física del centro de datos de la
Universidad y la tercera consecuencia es que no se emplearía a un futuro las
vulnerabilidades y amenazas que podría tener el centro de datos en el momento
que tenga un riesgo inesperado.

23
 5. OBJETIVOS

5.1. OBJETIVO GENERAL

Identificar controles de seguridad física para el Centro de Datos de la Universidad
Autónoma de Occidente bajo las Normas ISO/IEC 27001: 2005 e ISO/IEC 27002:
2005 con el fin de garantizar la continuidad del negocio.

5.2. OBJETIVOS ESPECÍFICOS

 Analizar los requerimientos de Seguridad Física estipulados en las normas

ISO/IEC 27001: 2005 e ISO/IEC 27002: 2005.
 Gestionar los controles de Seguridad Física según las normas.
 Proteger la información de carácter crítico para la institución por medio de
controles de acceso físico.
 Evaluar el nivel de Seguridad Física del centro de datos de la Universidad
Autónoma de Occidente.
 Formular políticas para el control de Seguridad Física del centro de datos de la
Autónoma de Occidente.
 Culturizar a los usuarios sobre los controles de la Seguridad Física planteada
en las normas establecidas.

24
 6. MARCO DE REFERENCIA

6.1. MARCO TEORICO

6.1.1. Definición de seguridad informática. La seguridad informática se

relaciona directamente con la seguridad de la información3. La seguridad
informática se define como cualquier medida que impida la ejecución de
operaciones no autorizadas sobre un sistema o red informática, cuyos efectos
pueden obtener daños en la información, comprender su confidencialidad,
autenticidad o integridad, disminuir el rendimiento de los equipos o bloquear el
acceso de usuarios autorizados al sistema.

La seguridad informática también abarca en asegurar los recursos del sistema de

información de una organización, siendo que el acceso a la información sea
posible a las personas que estén autorizadas y que se encuentren acreditadas.

También se puede decir que es la disciplina de proteger y resguardar la

información gestionada, administrada y operada en los dispositivos los cuales son:
estaciones de trabajo, portátiles, PDA´s y equipos de comunicación.

6.1.2. Definición de seguridad de la información. Según la norma ISO/IEC

27001 es la preservación de la confidencialidad, integridad y disponibilidad de la
información; además, también pueden estar involucradas otras propiedades como
la autenticidad, responsabilidad, no repudio y confidencialidad (ISO/IEC
17799:2005).

La seguridad de la información es la protección de la información de un rango

amplio de amenazas para poder asegurar la continuidad del negocio, minimizar el
riesgo comercial y maximizar el retorno de las inversiones y las oportunidades
comerciales.

3
Concepto de Seguridad Informática, Empresa Yumbo ESPY, [en línea], consultado el 10 de Junio
del 2010, disponible en Internet:
[Link]

25
Figura 1. Principales fases de la seguridad de la información

Fuente: Características de la Seguridad de la Información, [en línea], [consultado el 10 de Junio,

2013]. Disponible en
Internet:[Link]
&source=lnms&tbm=isch&sa=X&ei=fbNnU_7gOo7nsATf84GIBQ&sqi=2&ved=0CAYQ_AUoAQ&biw
=1280&bih=709.

6.1.3. Características de la seguridad4. Las principales características que se

enfoca la seguridad ya sea de la información o de la informática son:

 Confidencialidad: Propiedad que determina que la información no esté

disponible ni sea revelada a individuos, entidades o procesos no autorizados
[NTC 5411-1 2006].
 Integridad: La propiedad de salvaguardar la exactitud o integridad de los
activos [NTC 5411-1 2006].
 Disponibilidad: Propiedad de que la información sea accesible y utilizable por
solicitud de una entidad autorizada [NTC 5411-1 2006].

4
Portal de ISO 27001, Glosario de definición de las características de la seguridad, [en línea],
consultado el 10 de Junio del 2013, disponible en Internet:
[Link]

26
6.2. NORMA ISO/IEC 31000: 2009

Aunque todas las organizaciones gestionan el riesgo en algún grado, esta norma
establece el número de principios que es necesario satisfacer para hacer que la
gestión del riesgo sea eficaz. Esta norma recomienda que las organizaciones
desarrollen, implementen y mejoren continuamente un marco de referencia cuyo
propósito sea integrar el proceso para la gestión del riesgo en los procesos
globales de gobierno, estrategia y planificación, gestión, procesos de presentación
de informes, políticas, valores y cultura de la organización.
Según esta norma la gestión de riesgos se puede aplicar a toda la organización,
en todas sus áreas y niveles, en cualquier momento, así como funciones,
proyectos y actividades específicos.
En términos generales la Gestión del Riesgo se refiere a la arquitectura (principios,
marco y procesos) para la gestión eficaz del riesgo.
A continuación se muestra el proceso estructurado de la gestión de riesgos:
Figura 2. Relaciones entre los principios, el marco de referencia y los
procesos para la gestión del riesgo

Fuente: Avantium Business Consulting, Gestión de Riesgos: Norma ISO/IEC 31000: 2009, [en
línea], consultado el 05 de Julio del 2013, disponible en
Internet:[Link]

27
En la Figura 2. se muestra el proceso de gestión de riesgos en el cual en este
proyecto se centró en la parte del (Proceso Numeral 5) incluyendo el Análisis de
Riesgos (Ver en el inciso de Anexos llamado Anexo C. Análisis de Riesgos) para
el Centro de Datos.

Esta norma puede ser utilizada por cualquier empresa pública, privada o
comunitaria, asociación, grupo o individuo.

Esta norma se puede aplicar a cualquier tipo de riesgo, cualquiera sea su

naturaleza, bien sea que tenga consecuencias positivas o negativas.

Según la norma ISO/IEC 31000 es un documento práctico que busca ayudar a las
organizaciones en el desarrollo de su propia estrategia para gestionar sus riesgos
pero no es un estándar certificable.

6.2.1. Gestión de riesgos. La gestión de riesgos según la norma ISO/IEC 31000:

2009 “son las actividades coordinadas para dirigir y controlar una organización con
respecto al riesgo5”.

“Son procesos para aumentar la probabilidad y el impacto de las oportunidades y

disminuir la probabilidad y el impacto de las amenazas”.

Los procesos de la gestión de riesgos son:

 Identificación
 Análisis y priorización.
 Establecer planes de respuesta.
 Monitorización y Control.

5
Avantium Business Consulting, Gestión de Riesgos: Norma ISO/IEC 31000: 2009, [en línea],
consultado el 05 de Julio del 2013, disponible en
Internet:[Link]

28
Para llevar a cabo el proceso de gestión de riesgos, la ISO 27001 estipula que se
debe adoptar una metodología que va a permitir analizar los riesgos asociados a
los activos de información y de esta manera brindarle a la dirección un nivel de
riesgo aceptable y/o asumible.

Para este proyecto se decidió trabajar bajo la metodología OCTAVE.

6.2.2.¿Qué es un riesgo?. El riesgo es el factor que una empresa puede tener

por cualquier motivo que se presente. Según la ISO 73: 2002 el riesgo es definida
como una combinación de la probabilidad de un suceso y de sus consecuencias.
Pero también el riesgo es todo lo que pueda afectar el objetivo que se tenía
planeado.
Pero un concepto muy bien explicado es que el riesgo es la probabilidad que el
agente amenazante explote la vulnerabilidad para causar daño, a un computador,
red, daño dando como resultado el impacto en el negocio.

Los componentes del riesgo son: Activo de la Información, Amenaza y

Vulnerabilidad.
Amenaza: Se define como Amenaza a la posibilidad de ocurrencia de cualquier
tipo de evento o acción que puede producir un daño (material o inmaterial) sobre
los Activos de Información.

Vulnerabilidad6: La Vulnerabilidad se define como la capacidad, las condiciones y

características del sistema mismo (incluyendo la entidad que lo maneja), que lo
hace susceptible a amenazas, con el resultado de sufrir algún daño. En otras
palabras, es la capacidad y posibilidad de un sistema de responder o reaccionar a
una amenaza o de recuperarse de un daño.

Las vulnerabilidades están en directa interrelación con las amenazas porque si no

existe una amenaza, tampoco existe la vulnerabilidad o no tiene importancia,
porque no se puede ocasionar un daño.

6
Concepto de Vulnerabilidad y Amenaza, [en línea], consultado el 08 de Febrero del 2014,
Disponible en Internet: [Link]

29
6.3. METODOLOGÍA OCTAVE

Esta metodología tiene criterios de peso para su selección, entre los cuales son:

 Incorpora activos, amenazas y vulnerabilidades.

 Permite tomar decisiones basadas en prioridades según la importancia para la
organización.
 Basado en catálogos de buenas prácticas.

Ofrece un método auto dirigido para evaluación de riesgos de Seguridad de la

Información:

 Porque se identifica que la Seguridad de la Información es responsabilidad de

toda la organización.
 La Alta Dirección de la organización debe tomar decisiones sobre la Seguridad
de la Información.
 Establece un grupo interdisciplinario basado en personal de la organización.

Su desarrollo en la organización es conducida por un equipo de análisis

conformado por:

 Personal del negocio.

 Personal de IT.
 Reforzado cuando se necesitan habilidades o conocimientos especiales.

30
6.3.1. El proceso Octave

Figura 3. El proceso de la Metodología OCTAVE7

Fuente: ROJAS, Jorge. Principios de Seguridad Informática. Colombia – Cali, 2013 – 2014. 57 p.

En donde en la FASE 1 se pueden incluir las siguientes actividades:

 Lluvia de ideas.
 Encuestas.
 Entrevistas.

Algunas de las preguntas para iniciar esta fase es:

 ¿Cuáles de los activos relacionados con la información, son indispensables

para la organización?
 ¿Qué hace a cada uno de estos activos importantes?
 ¿Qué o quién amenaza este activo?
 ¿Qué se hace hoy día para protegerlo?
 ¿Qué debilidades existen en cuanto a políticas y prácticas de seguridad hoy
día en su organización?

En esta fase lo principal es identificar las vulnerabilidades organizacionales.

7
ROJAS, Jorge. Principios de Seguridad Informática. Colombia – Cali, 2013 – 2014. 57 p.

31
En la FASE 2 se podría indicar las siguientes preguntas:

 ¿Cómo se usan los activos? ¿Cómo se accede a ellos?

 ¿Qué componentes de infraestructura están relacionados con los activos?
 ¿Cuáles son los componentes claves de la infraestructura computacional?
 ¿Qué debilidades tecnológicas expone a los activos a amenazas?

Para ello se utilizará el catálogo de prácticas (Ver en el inciso de Anexos con el

nombre de Anexo B. Catálogo de Prácticas – Metodología Octave) en el cual
consiste en realizar encuestas a la persona que es responsable sobre el activo de
información que va a ser evaluada.

Este catálogo de prácticas se divide en dos tipos de prácticas:

 Estratégicos.
 Operativos.

Las Prácticas Estratégicas se centran en cuestiones de organización a nivel de

políticas y proporcionan buenas prácticas de gestión general. Estas prácticas
estratégicas abordan temas que son relacionados con la empresa, así como
cuestiones que requieren los planes de toda la organización y participación. Las
Prácticas Operacionales se centran en cuestiones relacionadas a cómo utiliza la
gente, interactuar con la tecnología y proteger la tecnología. Dado que las
prácticas estratégicas se basan en buenas prácticas de gestión, que debe ser
bastante estable en el tiempo, las prácticas operacionales están más sujetos a
cambios como la tecnología que surgen avances y prácticas nuevas o
actualizadas para hacer frente a esos cambios.

En la siguiente figura muestra la estructura del catálogo de prácticas.

32
Figura 4. Componentes del Catálogo de Prácticas Octave 8

Fuente: Catálogo de Prácticas Octave, [en línea], [consultado el 20 de Enero de 2014]. Disponible
en Internet: [Link]

Y por último se encuentra la FASE 3 donde con la matriz de riesgos debe darse
respuestas a inquietudes tales como:

En esta fase se crea una estrategia de protección y planes de mitigación, basados

en la información recolectada. Las salidas para esta tercera fase son:

 ¿Qué políticas y prácticas requieren definirse/modificar?

 ¿Qué acciones deben tomarse para mitigar los riesgos?

8
Catálogo de Prácticas Octave [en línea], consultado el 20 de Enero de 2014, Disponible en
Internet: [Link]

33
 ¿Qué debilidades tecnológicas requieren enfrentarse de inmediato?

 Identificación y evaluación de riesgos: Basados en la información de las fases

anteriores y particularmente en los perfiles de amenazas, se identifican los
riesgos y se evalúa el impacto en términos de una escala predefinida (alto,
medio, bajo).

 Estrategia de protección y planes de mitigación del riesgo: Se desarrolla los

planes de mejora y los próximos pasos para proteger los activos críticos. Se
determina que se va a hacer para implementar los resultados de la evaluación.
Esta estrategia se desarrolla a partir de las vulnerabilidades y prácticas de
seguridad identificadas durante la fase 1 y 2 de la metodología.

6.4. ESTANDAR DE SEGURIDAD DE LA INFORMACIÓN

Existen diferentes normas y estándares que cumplen con el concepto de gestión
de seguridad de la información. Dichas normas están aprobados tanto nacional
como internacionalmente. Estas normas y estándares desarrollan un proceso
efectivo de la seguridad de los recursos y datos que gestionan.
Existen muchas normas y estándares, pero en este caso nos centraremos en la
norma ISO/IEC 27000 la cual es:
“…Una familia de estándares de ISO (International Organization for
Standardization) e IEC (International Electrotechnical Commission) que
proporciona un marco para la gestión de la seguridad”.

6.4.1 La serie de la norma ISO/IEC 27000

Figura 5. La serie de la norma ISO/IEC 27000

Fuente: La Serie de la Norma ISO/IEC 27000, [en línea], [consultado el 10 de Febrero de 2014].
Disponible en Internet: [Link]

34
Entre estas normas que se mostraron anteriormente solo se destacan las normas
ISO/IEC 27001 y la ISO/IEC 27002 ya que se relacionan más hacia la gestión de
seguridad de la información

6.4.2. Norma ISO/IEC 270009. Esta norma establece un conjunto de estándares

desarrollados por la ISO (International Organization for Standardization) e IEC
(International Electrotechnical Commission), que proporciona un marco de gestión
de la seguridad de la información utilizable por cualquier tipo de organización,
pública o privada, grande o pequeña.
En este apartado se resume las distintas normas que componen la norma ISO
27000 y se indica como una organización implantar un sistema de gestión de
seguridad de la información (SGSI) basado en la ISO 27001.

6.5. NORMA ISO/IEC 27001: 201310

“Norma que especifica los requisitos para establecer, implantar, poner en

funcionamiento, controlar, revisar, mantener y mejorar un SGSI documentado
dentro del contexto global de los riesgos de negocio de la organización. Especifica
los requisitos para la implantación de los controles de seguridad hechos a medida
de las necesidades de las organizaciones individuales o partes de la misma”.

A continuación se muestra en la Tabla 1 la nueva estructura de la Norma ISO/IEC

27001: 2013:

Cuadro 2. Nueva Estructura de la Norma ISO/IEC 27001: 2013

No de Cláusula Cláusula Descripción

0 Introducción
1 Alcance
2 Referencias
normativas

9
La Serie de la Norma ISO/IEC 27000, [en línea], consultado el 10 de Febrero de 2014. Disponible
en Internet: [Link]

Norma ISO/IEC 27001: 2013, [en línea], consultado el 26 de Marzo de 2014. Disponible en
10

Internet: [Link]
norma-para-gestionar-la-seguridad-de-la-informacion/

35
Cuadro 2 (Continuación)
No de Cláusula Cláusula Descripción
3 Términos y
definiciones
4 Contexto de la Resalta la necesidad de hacer un análisis
Organización para identificar los problemas externos e
internos que rodean a la organización.
5 Liderazgo Responsabilidades de la Alta Dirección
respecto al SGSI, principalmente en
aquellas que demuestren su compromiso,
como la definición de la política de
seguridad de la información alineada a los
objetivos del negocio y la asignación de
los recursos necesarios para la
implementación del sistema.
6 Planeación Se prioriza la definición de objetivos de
seguridad que permita relacionar planes
específicos asociados a su cumplimiento.
7 Soporte Se relacionan requerimientos para
implementar el SGSI incluyendo recursos,
personas y el elemento de comunicación
para las partes interesadas en el sistema.
8 Operación Se asocia a la etapa Hacer del ciclo de
mejora continua y se establecen los
mecanismos para planear y controlar las
operaciones y requerimientos de
seguridad, realizando las evaluaciones de
riesgos
periódicas el enfoque central para la
gestión del sistema.
9 Evaluación de Se definen las bases para medir la
desempeño efectividad y desempeño del sistema de
gestión a través de las auditorías internas
y otras revisiones del SGSI, que plantean
planes de acción que permitan atender y
solucionar las no-conformidades.

10 Mejora Propone a partir de las no-conformidades

identificadas establecer las acciones
correctivas más efectivas para
solucionarlas y teniendo el control de que
no se repitan.
Fuente: Norma ISO/IEC 27001: 2013, [en línea], [consultado el 26 de Marzo de 2014]. Disponible
en Internet: [Link]
la-norma-para-gestionar-la-seguridad-de-la-informacion/.

36
6.6. NORMA ISO/IEC 27002: 201311

Esta norma se basa en el código de las buenas prácticas para la gestión de la

seguridad. Se puede dar recomendaciones sobre qué medidas tomar para
asegurar los sistemas de información de una organización. Esta norma también
describe los objetivos de control (aspectos para garantizar la seguridad de la
información) y especifica los controles recomendables a implantar (medidas a
tomar).
Al igual que el Anexo A de la norma ISO/IEC 27001, tiene los 14 dominios, 35
objetivos de seguridad y 114 controles de seguridad.

Figura 6. Dominios de la Norma ISO/IEC 27002: 2013

Fuente: Dominios de la Norma ISO/IEC 27002: 2013, [en línea], [consultado el 26 de Marzo de
2014]. Disponible en Internet:
[Link]
%20ISO27001ISO%2027002%20-%20Paloma%[Link].

Norma ISO/IEC 27001: 2013, [en línea], [consultado el 26 de Marzo de 2014]. Disponible en
11

Internet: [Link]
norma-para-gestionar-la-seguridad-de-la-informacion/

37
Se ha reducido en la versión 2013 la cantidad de controles a 114, contra los 133
de la versión 2005. De los respectivos listados de controles se deduce que de los
133 controles de la versión 2005:

 27 controles se han eliminado.

 8 controles de los restantes se han consolidado en sólo 4 controles en la
versión 2013.
 1 control de la versión 2005 se divide en 2 controles en la versión 2013.
 11 controles nuevos se han agregado

6.7. ANEXO A
El Anexo A contiene 114 controles que no se centran solamente en la tecnología
de la información; también incluye seguridad física, protección legal, gestión de
recursos humanos, asuntos organizacionales. El Anexo A ayuda a escoger los
controles adecuados para disminuir los riesgos.

El Anexo A es donde se relacionan las normas ISO/IEC 27001 e ISO/IEC 27002 12.
Los controles de la norma ISO/IEC 27002 tiene los mismos nombres que en el
Anexo A de la norma ISO/IEC 27001; pero su diferencia se encuentra en el nivel
de detalle en el cual la ISO/IEC 27001 sólo proporciona una breve descripción de
un control, mientras que la ISO/IEC 27002 ofrece lineamientos detallados sobre
cómo implementar el control.

12
Norma ISO/IEC 27002: 2013, [en línea], consultado el 26 de Marzo de 2014. Disponible en
Internet: [Link]

38
Fuente: Controles de la Norma ISO/IEC 27002: 2013 [en línea], [consultado el 26 de Marzo de 2014]. Disponible en Internet:
[Link]

39
6.8. SEGURIDAD FÍSICA13
La seguridad física identifica las amenazas, vulnerabilidades y las medidas que
pueden ser utilizadas para proteger físicamente los recursos y la información de la
organización. Los recursos incluyen el personal, el sitio donde ellos laboran, los
datos, equipos y los medios con los cuales los empleados interactúan, en general
los activos asociados al mantenimiento y procesamiento de la información.

La seguridad física es uno de los aspectos más olvidados a la hora del diseño de
un sistema informático. Uno de los aspectos es como la detección de un atacante
interno a la empresa que intenta acceder físicamente a una sala de operaciones
de la misma.
Una de las principales amenazas con que se relaciona la Seguridad Física es:

 Desastres naturales, incendios accidentales, tormentas e inundaciones.

 Amenazas ocasionadas por el hombre.
 Disturbios, sabotajes internos y externos deliberados.

A continuación se analizará los peligros más importantes que se encuentra un

centro de datos; con el objetivo de mantener una serie de acciones a seguir en
forma eficaz y oportuna para la prevención, reducción, recuperación y corrección
de los diferentes tipos de riesgos:

 Incendios: Los incendios son causados por el uso inadecuado de

combustibles, fallas de instalaciones eléctricas defectuosas y el inadecuado
almacenamiento y traslado de sustancias peligrosas.

El fuego es una de las principales amenazas contra la seguridad. Es

considerado el enemigo número uno de las computadoras ya que pueden
destruir fácilmente los archivos de información y programas.

Para reducir los riesgos de incendio del centro de datos se encuentras los
siguientes factores:
- El área en el donde se encuentran las computadoras debe estar en un
lugar que no sea combustible o inflamable.

13
Seguridad de la Información, Información sobre la Seguridad Física, [en línea], consultado el 24
de Junio del 2013. Disponible en Internet: [Link]

40
 - Las paredes deben hacerse de materiales incombustibles y extenderse
desde el suelo hasta el techo.
- Debe construirse un “falso piso” instalado sobre el piso real, con materiales
incombustibles y resistentes al fuego.
- No debe estar permitido fumar en el área de proceso.
- Deben emplearse muebles incombustibles, y cestos metálicos para
papeles.
- El piso y el techo en el recinto del centro de datos y de almacenamiento de
los medios magnéticos deben ser impermeables.

 Inundaciones: Se define como la invasión de agua por exceso de

escurrimientos superficiales o por acumulación en terrenos planos, ocasionada
por falta de drenaje ya sea natural o artificial.

Esta es una de las causas de mayores desastres en el centro de datos.

Para evitar este inconveniente se debe construir un techo impermeable para

evitar el paso de agua desde un nivel superior y acondicionar las puertas para
contener el agua que baje por las escaleras.

 Condiciones Climatológicas: Normalmente se reciben de acuerdo al clima

los avisos de tormentas, tempestades, tifones y catástrofes sísmicas similares.

La frecuencia y severidad de su ocurrencia deben ser tenidas al decidir la

construcción de un edificio. La comprobación de los informes climatológicos o
la existencia de un servicio que notifique la proximidad de una tormenta severa,
permite que se tomen precauciones adicionales, tales como la retirada de
objetos móviles, la provisión de calor, iluminación o combustible para la
emergencia.

Los terremotos son fenómenos sísmicos que pueden ser tan poco intensos que
solamente instrumentos muy sensibles los detectan o tan intensos que causan
la destrucción de edificios y hasta la pérdida de la vida de las personas.

 Señales de Radar: La influencia de las señales o rayos de radar sobre el

funcionamiento de una computadora ha sido exhaustivamente estudiada desde
hace varios años.

41
 Los resultados de las investigaciones más recientes son que las señales muy
fuertes de radar pueden inferir en el procesamiento electrónico de la
información, pero únicamente si la señal alcanza el equipo es de 5 Volts/Metro,
o mayor.

 Instalaciones Eléctricas: Trabajar con computadoras implica trabajar con

electricidad. Por lo tanto esta es una de las principales áreas de la seguridad
física.

En la medida que los sistemas se vuelven más complicados se hace más

necesaria la presencia de un especialista para evaluar riesgos particulares y
aplicar soluciones que estén de acuerdo con una norma de seguridad
industrial.

Entre la instalación eléctrica se encuentra:

- Picos y ruidos electromagnéticos.
- Cableado.
- Cableado de alto nivel de seguridad.
- Pisos de placas extraíbles.
- Sistema de aire acondicionado.
- Emisiones electromagnéticas.

 Ergometría: Es una disciplina que se ocupa de estudiar la forma en que

interactúa el cuerpo humano con los artefactos y elementos que lo rodean,
buscando que esa interacción sea lo menos agresiva y traumática posible.

Entre la ergometría se encuentra:

- Trastornos óseos y/o musculares.
- Trastornos visuales.
- La salud mental.
- Ambiente luminoso.
- Ambiente climático.

 Los sistemas de Aire Acondicionado para un Centro de Datos: El

mantenimiento preciso de las condiciones ambientales es muy importante en
los espacios del Centro de Datos porque garantizan la integridad de su
información y la confiabilidad de la operación de los equipos electrónicos por

42
mucho tiempo; esto garantiza óptimas condiciones de funcionamiento de los
equipos.

El aire acondicionado de precisión es esencial un ambiente correcto de los

equipos electrónicos. El sistema “Close Control” está preparado para mantener
a través del control microprocesado la temperatura y humedad óptimas
requeridas para el funcionamiento eficaz de los sistemas electrónicos. Para
poder mantener el nivel de temperatura adecuado y el grado de humedad
dentro de los límites medios, se proponen dotaciones de equipos de
climatización específicos para salas informáticas, controlado por
microprocesador, capaz de producir frío, calor y humidificar o deshumidificar de
forma automática dentro de unos márgenes de y (Humedad
Relativa) para valores de funcionamiento previstos de 21 °C y 60% HR. El aire
acondicionado de la sala del Centro de Datos debe ser independiente del aire
general de las oficinas.

No se debe climatizar un Centro de Datos por pequeño que sea, con un

sistema de aire acondicionado de confort. Existe una gran diferencia entre
climatizar equipos electrónicos y proporcionar un ambiente agradable para el
confort de las personas. Para empezar, la gente agrega humedad al ambiente
de una habitación y los equipos no. De tal manera que se debe tomar en
consideración el “enfriamiento latente” (la habilidad de remover la humedad) y
el “enfriamiento sensible” (la habilidad de remover el calor seco). Los aires
acondicionados de ventana y los sistemas centrales en los edificios de oficinas
están diseñados con una relación de enfriamiento sensible de alrededor de
0.60 a 0.70. Hay dos cosas importantes a la hora de enfriar un Centro de
datos:

- Se tendrá que instalar mayor capacidad de aire acondicionado de confort

para obtener los mismos resultados que con un Sistema de Aire
Acondicionado de Precisión.
- Un sistema de confort extraerá la humedad por debajo de los límites
aceptables para la operación eficiente de sus equipos. Lo cual significa
que, o se expone a los problemas ocasionados por un ambiente muy seco,
o tendrá que adquirir sistemas de humidificación adicionales. Con un
Sistema de Precisión no existe tales problemas. Por un lado, no extraerá
tanta humedad de aire y por otro, viene provisto de un sistemas de
humidificación integral que mantendrá, pase lo que pase, la humedad
relativa exigida por los fabricantes de Centros de Datos.

43
6.9. ESTANDARES DE SEGURIDAD FÍSICA

Los Estándares de Seguridad Física manejan los mecanismos de control de

acceso físico para el personal y entes externos donde permiten el acceso a las
instalaciones y áreas restringidas del Centro de Datos sólo a personas
autorizadas para la salvaguarda de los equipos de cómputo y de comunicación
que contiene el Centro de Datos.

Cuadro 3. Descripción de los Estándares de Seguridad Física

Estándar Descripción
Resguardo y -El usuario deberá reportar de forma inmediata al área de tecnologías de la
protección de la información cuando detecte que existan riesgos reales o potenciales para
Información equipos de cómputo o comunicaciones, como pueden ser fugas de agua,
conatos de incendio u otros.
-El usuario tiene la obligación de proteger las unidades de almacenamiento
que se encuentren bajo su administración, aun cuando no se utilicen y
contengan información reservada o confidencial.
-Es responsabilidad del usuario evitar en todo momento la fuga de la
información del sitio que se encuentre almacenada en los equipos de cómputo
personal que tenga asignados.
Controles de acceso -Cualquier persona que tenga acceso a las instalaciones del centro de datos,
físico deberá registrar al momento de su entrada, el equipo de cómputo, equipo de
comunicaciones, medios de almacenamiento y herramientas que no sean
propiedad de este lugar, en el área de recepción, el cual podrán retirar el
mismo día. En caso contrario deberá tramitar la autorización de salida
correspondiente.
Seguridad en áreas -Los centros de datos de la universidad son áreas restringidas, por lo que sólo
de trabajo el personal autorizado por el área de tecnologías de la información puede
acceder a él.
Protección y -Los usuarios no deben mover o reubicar los equipos de cómputo o de
ubicación de los telecomunicaciones, instalar o desinstalar dispositivos, ni retirar sellos de los
equipos mismos sin la autorización del área de tecnología de la información, en caso
de requerir este servicio deberá solicitarlo.
-La universidad será la encargada de generar el resguardo y recabar la firma
del usuario como el responsable de los activos informáticos que se le asignen
y de conservarlos en la ubicación autorizada por el área de tecnologías de la
información.
-El equipo de cómputo asignado, deberá ser para uso exclusivo de las
funciones del centro de datos.
-Mientras se opera el equipo de cómputo, no se deberán consumir alimentos o
ingerir líquidos.
-Se debe evitar colocar objetos encima del equipo o cubrir los orificios de
ventilación del monitor o CPU.
-Se debe mantener el equipo informático en un entorno limpio y sin humedad.
-El usuario debe asegurarse que los cables de conexión no sean pisados o
pinchados al colocar otros objetos encima o contra ellos en caso que no se
cumpla solicitar un reacomodo de cables con el personal encargado.

44
Cuadro 3 (Continuación)
Estándar Descripción
Mantenimiento de -Únicamente el personal autorizado por el área de tecnologías de la información
equipo podrá llevar a cabo los servicios y reparaciones al equipo informático.
-Los usuarios deberán asegurarse de respaldar la información que consideren
relevante cuando el equipo sea enviado a reparación y borrar aquella
información sensible que se encuentre en el equipo, previendo así la pérdida
involuntaria de información, derivada al proceso de reparación.

Pérdida de Equipo -El usuario que tenga bajo su resguardo algún equipo de cómputo, será
responsable de su uso y custodia; en consecuencia, responderá por dicho bien
de acuerdo a la normatividad vigente en los casos de robo, extravío o pérdida
del mismo.

Usos de -El uso de los grabadores de discos compactos es exclusivo para copias de
dispositivos seguridad de software y para respaldos de información que por su volumen así
especiales lo justifiquen.
-Si algún área por requerimientos muy específicos del tipo de aplicación o
servicio de aplicación tiene la necesidad de contar con uno de ellos, deberá ser
justificado y autorizado por el área de tecnologías de la información.
- El usuario tiene la obligación de proteger los CD – ROM, DVDs, Memorias
USB, tarjetas de memoria, discos externos, computadoras y dispositivos
portátiles que se encuentren bajo su administración, aun cuando no se utilicen y
contengan información reservada o confidencial.
Daño del equipo -El equipo de cómputo o cualquier recurso de tecnología de información que
sufra alguna descompostura por maltrato, descuido o negligencia por parte del
usuario quien resguarda el equipo, se levantará un reporte de incumplimiento
de políticas de seguridad.
Fuente: Manual de Políticas y Estándares de seguridad Informática, Estándares de Seguridad
Física,[en línea], consultado el 24 de Septiembre del 2013, disponible en Internet:
[Link]
Usuarios.

45
6.10. NORMA ANSI/EIA/TIA 94214

6.10.1. Definición. Esta norma define los distintos grados de disponibilidad

basados en recomendaciones del Uptime Institute, estableciendo cuatro niveles
(tiers) en función de la redundancia necesaria para alcanzar niveles de
disponibilidad de hasta el 99,995%.

Lo cierto es que para aumentar la redundancia y los niveles de confiabilidad, los

puntos únicos de falla deben ser eliminados tanto en el Data Center como en la
infraestructura que le da soporte.

El objetivo de esta Norma15 es establecer los requisitos y directrices para el diseño

y la instalación de un centro de datos o sala de ordenadores. Está diseñado para
ser utilizado por los diseñadores que necesitan una comprensión integral del
diseño del centro de datos, incluyendo la planificación de las instalaciones, el
sistema de cableado, y el diseño de la red. La norma permitirá el diseño de
centros de datos para ser considerado al principio del proceso de desarrollo de la
construcción, lo que contribuye a las consideraciones arquitectónicas,
proporcionando la información que va más allá de los esfuerzos de diseño
multidisciplinarios; promover la cooperación en las fases de diseño y construcción.

6.10.2. Niveles de Tiers. Los cuatro niveles de Tiers que plantea el estándar
corresponden a cuatro niveles de disponibilidad, teniendo en cuenta que a mayor
número de tier; mayor disponibilidad, lo implica también mayores costos
constructivos.

Esta clasificación es aplicable en forma independiente a cada subsistema de la

infraestructura (telecomunicaciones, arquitectura, eléctrica y mecánica). Hay que
tener en cuenta que la clasificación global del Data Center será igual a la de aquel
subsistema que tenga el menor número de tier.

14
Niveles de Centro de Cómputo (Tiers) según la Norma ANSI/TIA 942 [en línea], consultado el 20
de Marzo del 2014, disponible en Internet:
[Link]
15
ESTADOS UNIDOS, NORMA ANSI/TIA 942. Norma de Telecomunicaciones de Infraestructura
para Centro de Datos. 2005. 142 p.

46
[Link] Nivel (Tier) I. Básico

 Rutas únicas.
 Sin componentes redundantes.

Es susceptible de interrupciones por actividades planeadas y no planeadas. La

UPS, aires y generadores son módulos simples y tienen múltiples puntos sencillos
de falla. Las cargas críticas pueden ser expuestas a apagones durante
mantenimientos preventivos o correctivos. Errores de operación o fallas
espontáneas de los componentes de la infraestructura causarán interrupciones en
el centro de cómputo.

[Link]. Nivel (Tier) II. Componentes redundantes

 Rutas únicas.
 Componentes redundantes.

Son significativamente menos susceptibles de interrupciones que el Tier I por

actividades planeadas y no planeadas. El diseño de UPS y Generadores necesita
redundancia N+1, pero tienen un solo camino de distribución. El mantenimiento de
las rutas críticas de potencia y otras partes de la infraestructura, requerirán de un
proceso de “shut down”.

[Link]. Nivel (Tier) III. Concurrentemente mantenible

 Sistema multimódulo.
 Rutas duales o múltiples.
 Doble ruta de alimentación de potencia.
 Pérdida de redundancia durante falla o mantenimiento.

Permite realizar actividades de mantenimiento planeadas sin tener que suspender

servicios de hardware. Esto incluye labores de mantenimiento preventivo,
correctivo, adicción o remoción de equipos. Tiene suficiente disponibilidad en uno
de los caminos cuando se estén haciendo trabajos al otro. No queda con
redundancia cuando se hacen esos trabajos. Normalmente se diseña con opción
de convertirse en Tier 4 cuando las operaciones del negocio así lo exijan.

47
[Link]. Nivel (Tier) IV. Tolerante de fallas

 Múltiples rutas.
 Componentes redundantes.
 Fuente dual de potencia crítica garantizada.
 No hay pérdida de redundancia durante una falla sencilla o mantenimiento.

Proporciona la seguridad de no presentar interrupciones en las cargas críticas

durante actividades planeadas o no. Conserva la redundancia aun durante labores
de mantenimiento a uno de los caminos. La única forma de tener un “shut down”
es mediante la activación del Botón de Apagado de Emergencia (EPO) que exigen
los códigos.

Por último, esta norma ANSI/EIA/TIA 942 se utiliza generalmente para crear un
Centro de Datos en una organización en la parte del cableado, en la
infraestructura tecnológica, ubicación de los equipos de cómputo. Por lo tanto se
utilizó en este proyecto de grado presente para tener en cuenta al momento de
recomendar en los controles físicos para un Centro de Datos.

48
 7. DESARROLLO DEL PROYECTO

Figura 8. Guía de desarrollo metodológico

Por medio de la Metodología Octave se le da inicio al proceso del trabajo

presente, encontrando los principales riesgos que tiene el Activo de Información
por medio de estándares y metodologías que se reflejan en el análisis de riesgos
para este proceso.

El Estándar en términos orientados a la gestión de riesgos es un lineamiento de

carácter interno, nacional o internacional con el que se debe cumplir para
garantizar un tratamiento adecuado de los mismos.
De acuerdo a la definición anterior, se enfocará en la Norma ISO/IEC 31000: 2009.

La metodología en términos orientados a la gestión de riesgos es un lineamiento

de carácter interno, nacional o internacional el cual ayuda el cómo cumplir con los
lineamientos dados para garantizar un tratamiento adecuado de los mismos. De
acuerdo a la definición anterior, se enfocará en la Metodología Octave.

La guía de desarrollo metodológico cuenta con tres fases en los cuales se llevan a
cabo una serie de subfases para el cumplimiento del mismo. Inicia con la vista

49
organizacional, seguido de la Vista tecnológica y por último finaliza con el proceso
de análisis de riesgos.

7.1. FASE 1 – VISTA ORGANIZACIONAL

Figura 9. Fase 1 – Metodología Octave

En donde en la FASE 1 se pueden incluir las siguientes actividades:

 Lluvia de ideas.
 Encuestas.
 Entrevistas.

Algunas de las preguntas para iniciar esta fase es:

 ¿Cuáles de los activos relacionados con la información, son indispensables

para la organización?
 ¿Qué hace a cada uno de estos activos importantes?
 ¿Qué o quién amenaza este activo?
 ¿Qué se hace hoy día para protegerlo?
 ¿Qué debilidades existen en cuanto a políticas y prácticas
de seguridad hoy día en su organización?

7.1.1. Activos Críticos. Se identifican los activos relacionados con la información

que son de mayor criticidad para la operación y subsistencia de la organización.

7.1.2. Perfil de Amenazas. Un perfil de amenaza es una manera estructurada de

mostrar las diferentes amenazas que se presentan sobre cada activo crítico. El
perfil de amenazas identifica el actor que genera la amenaza, el motivo u objetivo
que perseguiría el actor, la manera como podría acceder al activo (físicamente, a

50
través de la red) y el impacto que generaría sobre el activo y sobre la
organización.

7.1.3. Requerimientos de seguridad. Se identifican los aspectos que son

importantes de proteger para cada activo. Típicamente se consideran aspectos de
confidencialidad, integridad y disponibilidad.

7.1.4. Prácticas actuales de seguridad. Se identifican las prácticas de

seguridad en la organización. Esta identificación es la base sobre la que se
construirá más adelante la estrategia de protección de la empresa. Para ello,
Octave incluye una serie de catálogos de prácticas de seguridad que se evalúa en
los diferentes talleres, con una herramienta que facilita a los participantes el
entendimiento de lo que es una práctica de seguridad y una vulnerabilidad.

En la parte de las plantillas se mostrará el cuadro sobre la información del Activo

de Información el cuál es El centro de Datos.

En esta fase lo principal es identificar las vulnerabilidades organizacionales.

En esta fase se obtuvieron los activos de la Institución Universitaria el cual es el

Centro de Datos de la Universidad Autónoma de Occidente, las vulnerabilidades
organizacionales se obtuvieron por medio del Documento de Catálogo de
Prácticas Octave, donde están las Practicas Estratégicas y las amenazas que
pueden tener el Centro de Datos. Teniendo en cuenta que las amenazas no se
pueden controlar, en cambio las vulnerabilidades si se pueden controlar.

El Catálogo de Prácticas se puede observar en el Anexo B con las Prácticas

Estratégicas identificando las vulnerabilidades organizacionales.

De acuerdo en el Catalogo de Practicas Octave (Ver Anexo B) que ya se había

mencionado anteriormente se especificó que existen Practicas Estratégicas y
Practicas Operacionales. Las Practicas Estratégicas son preguntas enfocadas
hacia la alta dirección, es decir hacia el responsable del Activo de Información
para recolectar información sobre qué tan interesados esta la Alta Dirección con el
Centro de Datos.

51
Siguiendo con el tema de Catalogo de Practicas Octave ya se ha mencionado
anteriormente que son preguntas que se podrán ver en el Anexo B de este
documento. Estas preguntas son divididas en varias etapas que están orientadas
hacia el Centro de Datos y también sirven para conocer más sobre la
organización.

Esas Prácticas Estratégicas son realizadas con el Responsable del Activo de

Información.

En las Practicas Estratégicas se dividen en las siguientes etapas:

 Conciencia de Seguridad y Formación (SP1) (Ver Anexo B1).

 Estrategia de Seguridad (SP2) (Ver Anexo B2).
 Gestión de la Seguridad (SP3) (Ver Anexo B3).
 Planes de Contingencia / Recuperación de Desastres (SP6) (Ver Anexo B4).

De esas etapas anteriores se dividen en unas sub etapas que ya hacen parte de
ser las preguntas que se encuentran en el Anexo B donde son identificadas como
SP1.1, SP2.1, SP3.1 y así sucesivamente. La persona que está encargada de
realizar las encuestas no tiene la necesidad de realizar todas las preguntas que
están ahí, él las escoge según sea de mayor importancia para realizar un análisis
de riesgo al activo de información el cual es el Centro de Datos de la Universidad.
Sin embargo, se debe justificar por qué no se escogió la etapa de las prácticas.

Siendo consecuente con la dinámica mencionada en el párrafo anterior, de las

etapas de las Practicas Estratégicas no se tiene en cuenta el SP4 (Política y
Reglamento de Seguridad) no se considera importante en el proyecto porque es
casi igual al SP2 y además lo que interesa es la seguridad física del Centro de
Datos de Universidad y no la seguridad lógica. Y el SP5 (Gestión de Seguridad
en Colaboración) no es importante esta práctica y no se tiene en cuenta en este
proyecto porque lo que interesa es la parte interior de la organización ya que no se
ve necesario vincular organizaciones externas para el desarrollo del proyecto, es
decir, se debería conocer primero la parte interna de la organización y después ver
si la parte externa es importante.

Las sub etapas que se tienen en cuenta en las Prácticas Estratégicas son las
siguientes:

52
Cuadro 4. Prácticas Estratégicas – Conciencia de Seguridad y formación (Ver
Anexo B1).

Nombre de la Práctica Estratégica Numeración de la Práctica

Estratégica
Conciencia de Seguridad y Formación SP1.1
(SP1) SP1.2
SP1.3

Cuadro 5. Prácticas Estratégicas – Estrategia de Seguridad (Ver Anexo B2).

Nombre de la Práctica Estratégica Numeración de la Práctica

Estratégica
Estrategia de Seguridad (SP2) SP2.1
SP2.2
SP2.3

Cuadro 6. Prácticas Estratégicas – Gestión de Seguridad (Ver Anexo B3).

Nombre de la Práctica Estratégica Numeración de la Práctica

Estratégica
Gestión de Seguridad(SP3) SP3.2
SP3.4
SP3.5
SP3.6

Cuadro 7. Prácticas Estratégicas – Planes de Contingencia / Recuperación

de Desastres (Ver Anexo B4).

Nombre de la Práctica Estratégica Numeración de la Práctica

Estratégica
Planes de Contingencia / Recuperación SP6.1
de Desastres (SP6) SP6.2
SP6.4
SP6.5

53
7.2. FASE 2 – VISTA TECNOLÓGICA

Figura 10. Fase 2 – Metodología Octave

En la FASE 2 se podría indicar las siguientes preguntas:

 ¿Cómo se usan los activos? ¿Cómo se accede a ellos?

 ¿Qué componentes de infraestructura están relacionados con los activos?
 ¿Cuáles son los componentes claves de la infraestructura computacional?
 ¿Qué debilidades tecnológicas expone a los activos a amenazas?

7.2.1. Vulnerabilidades Tecnológicas. Cada componente es evaluado mediante

diferentes técnicas (herramientas de detección de vulnerabilidades, equipo técnico
de inspección) para identificar las debilidades que pueden llevar a accesos no
autorizados sobre los activos críticos.

Para ello se utilizará el catálogo de prácticas (Ver Anexo B) en el cual consiste

en realizar encuestas a la persona que es responsable sobre el activo de
información que va a ser evaluada.

En esta fase lo principal es identificar las vulnerabilidades tecnológicas.

En esta fase, las vulnerabilidades tecnológicas se encuentran en el Documento
de Catálogo de Prácticas Octave de las Practicas Operacionales. Teniendo en
cuenta que las amenazas no se pueden controlar, en cambio las vulnerabilidades
si se pueden controlar.

Las Prácticas Operacionales son realizadas con el Custodio del Activo de

Información.

54
En las Prácticas Operacionales se dividen en las siguientes etapas:

 Seguridad Física (OP1) (Ver Anexo B5).

 Planes de Seguridad Física y Procedimientos (OP1.1) (Ver Anexo B5.1).
 Control de Acceso Físico (OP1.2) (Ver Anexo B5.2).
 Monitoreo y Auditoría de Seguridad Física (OP1.3) (Ver Anexo B5.3).

 Personal de Seguridad (OP3) (Ver Anexo B6)

 Manejo de Incidentes (OP3.1) (Ver Anexo B6.1).
 Personal de Prácticas Generales (OP3.2) (Ver Anexo B6.2).

De esas etapas anteriores se dividen en unas subetapas que ya hacen parte de

ser las preguntas que se encuentran en el Anexo 1 donde son identificadas como
SP1.1.1, SP2.1.1, SP3.1.1 y así sucesivamente. El consultor no tiene la necesidad
de realizar todas las preguntas que están ahí, él las escoge según sea de mayor
importancia para realizar un análisis de riesgo al activo de información el cual es el
Centro de Datos de la Universidad. Sin embargo, se debe justificar por qué no se
escogió la etapa y la subetapa de las prácticas.

En la etapa Tecnologías de Seguridad Informática no se tienen en cuenta ninguna

de las subetapas. Estas subetapas de la etapa de Tecnologías de Seguridad no se
tienen en cuenta porque lo principal es la Seguridad Física del Centro de Datos y
no interesa que información se tenga en el activo, es decir, no tiene importancia la
Seguridad Lógica en el Activo de Información.

Las sub etapas que se tienen en cuenta en las Prácticas Operacionales son las
siguientes:
Cuadro 8. Prácticas Operacionales – Seguridad Física (OP1) (Ver Anexo B5).
Planes de Seguridad Física y Procedimientos (Ver Anexo B5.1).

Nombre de la Práctica Operacional Numeración de la Práctica

Operacional
Planes de Seguridad Física y OP1.1.1
Procedimientos (OP1.1) OP1.1.2
OP1.1.3
OP1.1.4
OP1.1.5

55
Cuadro 9. Prácticas Operacionales – Seguridad Física (OP1) (Ver Anexo B5).
Control de Acceso Físico (Ver Anexo B5.2).

Nombre de la Práctica Operacional Numeración de la Práctica

Operacional
Control de Acceso Físico (OP1.2) OP1.2.1
OP1.2.2
OP1.2.3
OP1.2.4

Cuadro 10. Prácticas Operacionales – Seguridad Física (OP1) (Ver Anexo

B5). Monitoreo y Auditoría de Seguridad Física (Ver Anexo B5.3).

Nombre de la Práctica Operacional Numeración de la Práctica

Operacional
Monitoreo y Auditoría de Seguridad OP1.3.1
Física (OP1.3) OP1.3.3

Cuadro 11. Prácticas Operacionales – Personal de Seguridad (OP3) (Ver

Anexo B6). Manejo de Incidentes (Ver Anexo B6.1).

Nombre de la Práctica Operacional Numeración de la Práctica

Operacional
Manejo de Incidentes (OP3.1) OP3.1.1
OP3.1.2

Cuadro 12. Prácticas Operacionales – Personal de Seguridad (OP3) (Ver

Anexo B6). Personal de Prácticas Generales (Ver Anexo B6.2).

Nombre de la Práctica Operacional Numeración de la Práctica

Operacional
Personal de Prácticas Generales OP3.2.1
(OP3.2) OP3.2.2
OP3.2.3

56
7.3. FASE 3 – ANÁLISIS DE RIESGOS

Figura 11. Fase 3 – Metodología Octave

Y por último se encuentra la FASE 3 donde con la matriz de riesgos debe darse
respuestas a inquietudes tales como:

 ¿Qué políticas y prácticas requieren definirse/modificar?

 ¿Qué acciones deben tomarse para mitigar los riesgos?
 ¿Qué debilidades tecnológicas requieren enfrentarse de inmediato?

En esta fase se crea una estrategia de protección y planes de mitigación, basados

en la información recolectada. Las salidas para esta tercera fase son:

[Link]ón y evaluación de riesgos. Basados en la información de las

fases anteriores y particularmente en los perfiles de amenazas, se identifican los
riesgos y se evalúa el impacto en términos de una escala predefinida (alto, medio,
bajo).

[Link] de protección y planes de mitigación del riesgo. Se desarrolla

los planes de mejora y los próximos pasos para proteger los activos críticos. Se
determina que se va a hacer para implementar los resultados de la evaluación.
Esta estrategia se desarrolla a partir de las vulnerabilidades y prácticas de
seguridad identificadas durante la fase 1 y 2 de la metodología.

Para esta fase se desarrolló una plantilla muy importante dando reporte sobre la
cantidad de riesgos que se somete el Centro de Datos y realizando un análisis
conceptual sobre el Activo.

57
7.3.3. Valoración de los campos de la Matriz Análisis de Riesgos.

[Link]. Valoración del Activo

Impacto =

[Link]. Riesgo Neto

Riesgo Neto =

[Link]. Riesgo Residual

Riesgo Residual =

7.4 PLANTILLAS

A continuación se presentan las diferentes plantillas empleadas para el desarrollo

del proyecto:

7.4.1. Plantilla 01: Información sobre el Activo del Centro de Datos. Esta
plantilla está compuesta por los siguientes campos:

 ACTIVO DE INFORMACIÓN: Identifica el nombre del activo.

58
Cuadro 13. Cuadro descriptivo de Activos físicos.
Categoría Descripción
Infraestructura de TI Edificios, Centros de Datos, habitaciones de
equipos y servidores, armarios de red/cableado,
oficinas, escritorios/cajones/archivadores, salas
de almacenamiento de medios físicos y cajas de
seguridad, dispositivos de identificación y
autenticación/control de acceso del personal
(tornos, tarjetas, etc) y otros dispositivos de
seguridad (circuito cerrado de televisión (CCTV),
etc).
Controles del entorno de TI Equipos de alarma/supresión contra incendio,
sistemas de alimentación ininterrumpida (SAI),
alimentación potencia y de red,
acondicionadores/filtros/supresores de potencia,
deshumificadores/refrigeradores/alarmas de
aire, alarmas de agua.
Hardware de TI Dispositivos de almacenamiento y cómputo
como ordenadores de sobremesa, estaciones de
trabajo, portátiles, equipos de mano, servidores,
mainframes, módems, líneas de terminación de
red, dispositivos de comunicaciones (nodos de
la red), impresoras/fotocopiadoras/faxes y
equipos multifunción.
Fuente: Activos Físicos de TI, [en línea], [consultado el 30 de Marzo de 2014]. Disponible en
Internet: [Link]

 PROPIETARIO DEL ACTIVO: Quien define el grado de seguridad que

requiere el activo. El propietario no tiene, necesariamente que ser quien va a
gestionar el activo o ser su usuario. Es decir que es un proceso.
 RESPONSABLE DEL ACTIVO: Es el que toma decisiones sobre el Activo de
Información.
 CUSTODIO DEL ACTIVO: Es el que cumple con las expectativas de seguridad
sobre el Activo de Información.
 CONFIDENCIALIDAD DEL ACTIVO: Valoración de la confidencialidad en el
Activo de Información
 DISPONIBILIDAD DEL ACTIVO: Valoración de la disponibilidad en el Activo
de Información.
 INTEGRIDAD DEL ACTIVO: Valoración de la integridad en el Activo de
Información.
 USUARIOS: Conjunto de permisos y de recursos (o dispositivos) a los cuales
se tiene acceso.

59
Cuadro 14. Plantilla 01, Información sobre el Activo del Centro de Datos

Activo de Propietario del Responsable Custodio del Confidencialida Disponibilidad Integridad Usuarios
Información Activo del Activo Activo d del Activo del Activo del Activo

NOTA: El desarrollo planteado para esta plantilla se encuentra en el inciso de Anexos con el nombre de “Anexo A.
Información sobre el Activo del Centro de Datos”.

60
7.4.2. Plantilla 02, Análisis de Riesgos. Esta plantilla está compuesta por los
siguientes campos:

 IDENTIFICADOR DEL RIESGO: Número de identificación asignado al riesgo.

 ACTIVO: Identifica el nombre del activo de la organización.
 VALORACIÓN DEL ACTIVO: Identifica la valoración que se asigna teniendo
en cuenta el impacto generado frente a la confidencialidad, integridad y
disponibilidad.
 DESCRIPCIÓN DE LA AMENAZA: Identifica las posibles amenazas que
afectan el activo.
 Según [ISO/IEC 13335-1: 2004]: una amenaza es la causa potencial de un
incidente no deseado, el cual puede causar el daño a un sistema o la
organización.

Algunas amenazas generales tanto físicas como humanas se pueden encontrar en

el Cuadro 24. Cuadro de ejemplos de amenazas informáticas.

 VALORACIÓN DE LA AMENAZA: Identifica la valoración que se asigna

teniendo en cuenta la posibilidad de que ocurra la amenaza identificada.
 DESCRIPCIÓN DE LA VULNERABILIDAD: Identifica las vulnerabilidades que
presenta el activo.
 Según [ISO/IEC 13335-1: 2004]: Debilidad de un activo o conjunto de activos
que puede ser explotado por una amenaza.

Algunas vulnerabilidades físicas generales pueden ser encontradas en el Cuadro

25. Cuadro de ejemplos de vulnerabilidades informáticas.

 VALORACIÓN DE LA VULNERABILIDAD: Identifica la valoración que se

asigna teniendo en cuenta la posibilidad de que una amenaza explote la
vulnerabilidad identificada.
 RIESGO NETO: Identifica la valoración del riesgo existente en la organización
antes de tomar acciones o establecer controles.
 CONTROL DE LA ORGANIZACIÓN: Identifica los controles aplicados sobre el
activo.
 Según [ISO/IEC 27000]: Las políticas, procedimientos, las prácticas y las
estructuras organizativas concebidas para mantener los riesgos de seguridad
de la información por debajo del nivel de riesgo aceptable. (Nota: Control es
también utilizado como sinónimo de salvaguarda o contramedida).

61
 EVALUACIÓN DEL CONTROL: Identifica la evaluación que se asigna
teniendo en cuenta la efectividad del control asociado.
 CONTROL DE LA NORMA: Identifica los controles aplicados según las Norma
ISO/IEC 27001: 2013.
 RIESGO RESIDUAL: Identifica la valoración del riesgo existente en la
organización después de que se han tomado acciones o establecido controles.

62
Cuadro 15. Plantilla 02, Análisis de Riesgos

IDENTIFICADOR DEL VALORACIÓN DEL DESCRIPCIÓN DE LA VALORACIÓN DE LA DESCRIPCIÓN DE LA VALORACIÓN DE LA CONTROL DE LA EVALUACIÓN DEL CONTROL DE LA RIESGO
ACTIVO RIESGO NETO
RIESGO ACTIVO AMENAZA AMENAZA VULNERABILIDAD VULNERABILIDAD ORGANIZACIÓN CONTROL NORMA RESIDUAL

NOTA: El desarrollo planteado para esta plantilla se encuentra en el inciso de Anexos con el nombre de “Anexo C.
Análisis de Riesgos”.

63
7.4.3. Plantilla 03, Controles de la ISO 27002 seleccionados. Esta plantilla está
compuesta por los siguientes campos:

 ACTIVO: Identifica el activo de la organización.

 IDENTIFICADOR RIESGO: Número de identificación asignado al riesgo.
 DESCRIPCIÓN AMENAZA: Identifica las posibles amenazas que afectan al
activo.
 CATEGORIA AMENAZA: Identifica la categoría de la amenaza que afecta al
activo.
 DESCRIPCIÓN VULNERABILIDAD: Identifica las vulnerabilidades que
presenta el activo.
 NOMBRE DEL CONTROL ISO 27002: Identifica el nombre del control
asignado de la Norma ISO/IEC 27002: 2005.
 NÚMERO DEL CONTROL – ISO 27002: Identifica el número del control
asignado de la Norma ISO/IEC 27002: 2005.
 CONTROL – ISO 27002: Identifica información del control asignado para dar
recomendaciones sobre el activo.

64
Cuadro 16. Plantilla 03, Controles de la ISO 27002 seleccionados

ACTIVO IDENTIFICADOR RIESGO DESCRIPCIÓN AMENAZA CATEGORÍA AMENAZA DESCRIPCIÓN VULNERABILIDAD NOMBRE DEL CONTROL ISO 27002 NÚMERO DEL CONTROL - ISO 27002 CONTROL - ISO 27002

Nota: El desarrollo planteado para esta plantilla se encuentra en el inciso de Anexos con el nombre de “Anexo D.
Controles de la ISO 27002 seleccionados”.

65
7.5. CRITERIOS DE VALORACIÓN

Los siguientes criterios de valoración permiten analizar la probabilidad de

ocurrencia, el impacto y los controles existentes, frente a los riesgos del Centro de
Datos de la Universidad Autónoma de Occidente.

7.5.1. Probabilidad de Ocurrencia. Se determina mediante la probabilidad de

que una amenaza explote una vulnerabilidad.

[Link]. Amenaza. Según [ISO/IEC 13335-1: 2004]: Una amenaza es la causa

potencial de un incidente no deseado, el cual puede causar el daño a un sistema o
la organización.

Probabilidad de ocurrencia de que una amenaza afecte al activo:

Cuadro 17. Cuadro descriptivo de valoración de una amenaza

(Nota: El contenido del Cuadro descriptivo de valoración de una amenaza no

se debe mostrar en el documento ya que es información confidencial de la
Universidad Autónoma de Occidente que está estipulado en el documento
“Sistema de Administración de Riesgos de la Información”).

[Link]. Vulnerabilidad. Según [ISO/IEC 13335-1: 2004]: Debilidad de una activo

o conjunto de activos que puede ser explotado por una amenaza.

Probabilidad de que por la vulnerabilidad se materialice la amenaza:

Cuadro 18. Cuadro descriptivo de valoración de una vulnerabilidad

(Nota: El contenido del Cuadro descriptivo de valoración de una

vulnerabilidad no se debe mostrar en el documento ya que es información
confidencial de la Universidad Autónoma de Occidente que está estipulado
en el documento “Sistema de Administración de Riesgos de la
Información”).

7.5.2. Relevancia de activo. Determina como se ve afectado un activo de

información, de acuerdo a las características de la información.

[Link]. Confidencialidad. Acceso a la información únicamente por personas

autorizadas. ([ISO/IEC 13335-1: 2004]: Característica/propiedad por la que la

66
información no está disponible o revelada a individuos, entidades, o procesos no
autorizados).

[Link]. Integridad. Mantenimiento de la exactitud y completitud de la información.

([ISO/IEC 13335-1: 2004]: Propiedad/característica de salvaguardar la exactitud y
completitud de los activos).

[Link]. Disponibilidad. Acceso a la información y los sistemas de tratamiento de

la misma por parte de los usuarios autorizados cuando lo requieran. ([ISO/IEC
13335-1: 2004]: Característica o propiedad de permanecer accesible y disponible
para su uso cuando lo requiera una entidad autorizada).

El impacto que afecta al Centro de Datos de la Universidad Autónoma de

Occidente según los pilares de la Seguridad de la Información: La
Confidencialidad, La Integridad y la Disponibilidad:

Cuadro 19. Cuadro descriptivo de valoración del Impacto del Activo

(Nota: El contenido del Cuadro descriptivo de valoración del Impacto del

Activo no se debe mostrar en el documento ya que es información
confidencial de la Universidad Autónoma de Occidente que está estipulado
en el documento “Sistema de Administración de Riesgos de la
Información”).

7.5.3. Controles de la organización. Determina que tan efectivo es un control o

salvaguarda.

[Link]. Control. Las políticas, los procedimientos, las prácticas y las estructuras
organizativas concebidas para mantener los riesgos de seguridad de la
información por debajo del nivel de riesgo asumido. (Nota: Control es también
utilizado como sinónimo de salvaguarda o contramedida).

Evaluación del control de la organización:

67
Cuadro 20. Cuadro descriptivo de evaluación del control de la Institución
Universitaria

(Nota: El contenido del Cuadro descriptivo de evaluación del control de la

Institución Universitaria no se debe mostrar en el documento ya que es
información confidencial de la Universidad Autónoma de Occidente que está
estipulado en el documento “Sistema de Administración de Riesgos de la
Información”).

[Link] Controles de la Norma. Para el proceso de este proyecto se tuvieron en

cuenta los siguientes controles de la Norma ISO/IEC 27001: 2013 y la Norma
ISO/IEC 27002: 2013.

Cuadro 21. Cuadro descriptivo de los Controles de la Norma

CONTROL DE LA NORMA
Numeral de Descripción Control
la Norma
A.5.1.1 Políticas para la Se define un conjunto de políticas para la
seguridad de la seguridad de la información, aprobada por la
información. dirección, publicada y comunicada a los
empleados y a las partes externas
pertinentes.
A.6.1.1 Roles y Se deben definir y asignar todas las
responsabilidades responsabilidades de la seguridad de la
para la seguridad información.
de la información.
A.6.1.4 Contacto con Se deben mantener contactos apropiados
grupos de interés con grupos de interés especial u otros foros
especial. y asociaciones profesionales especializadas
en seguridad.
A.6.1.5 Seguridad de la La seguridad de la información se debe
información en la tratar en la gestión de proyectos,
gestión de independientemente del tipo de proyecto.
proyectos.
A.7.1.2 Términos y Los acuerdos contractuales con empleados y
condiciones del contratistas deben establecer sus
empleo. responsabilidades y las de la organización
en cuanto a la seguridad de la información.
A.7.2.1 Responsabilidades La dirección debe exigir a todos los
de la dirección. empleados y contratistas la aplicación de la
seguridad de la información de acuerdo con
las políticas y procedimientos establecidos
por la organización.

68
Cuadro 21 (Continuación)
Numeral de Descripción Control
la Norma
A.7.2.2 Toma de Todos los empleados de la organización, y
conciencia, en donde sea pertinente, los contratistas,
educación y deben recibir la educación y la formación en
formación en la toma de conciencia apropiada, y
seguridad de la actualizaciones regulares sobre las políticas
información. y procedimientos de la organización
pertinentes para su cargo.
A.11.1.1 Perímetro de Se deben definir y usar perímetros de
seguridad física. seguridad, y usarlos para proteger áreas que
contengan información confidencial o crítica,
e instalaciones de manejo de información.
A.11.1.2 Controles de Las áreas seguras se deben proteger
acceso físicos. mediante controles de acceso apropiados
para asegurar que solo se permite el acceso
a personal autorizado.
A.11.2.1 Ubicación y Los equipos deben estar ubicados y
protección de los protegidos para reducir los riesgos de
equipos. amenazas y peligros del entorno, y las
posibilidades de acceso no autorizado.
A.11.2.4 Mantenimiento de Los equipos se deben mantener
equipos. correctamente para asegurar su
disponibilidad e integridad continuas.
A.12.7.1 Controles de Los requisitos y actividades de auditoría que
auditorías de involucran la verificación de los sistemas se
sistemas de deben planificar y acordar cuidadosamente
información. para minimizar las interrupciones en los
procesos del negocio.
A.16.1.1 Responsabilidades Se deben establecer las responsabilidades y
y procedimientos. procedimientos de gestión para asegurar
una respuesta rápida, eficaz y ordenada a
los incidentes de seguridad de la
información.
A.16.1.5 Respuesta a Se debe dar respuestas a los incidentes de
incidentes de seguridad de la información de acuerdo con
seguridad de la procedimientos documentados.
información.
A.17.1.1 Planificación de la La organización debe determinar sus
continuidad de la requisitos para la seguridad de la
seguridad de la información y la continuidad de la gestión de
información. la seguridad de la información en situaciones
adversas durante desastres.

69
Cuadro 21 (Continuación)
Numeral de Descripción Control
la Norma
A.17.1.2 Implementación de La organización debe establecer,
la continuidad de documentar, implementar y mantener
la seguridad de la procesos, procedimientos y controles para
información. asegurar el nivel de continuidad requerido
para la seguridad de la información durante
una situación adversa.
A.17.1.3 Verificación, La organización debe verificar a intervalos
revisión y regulares los controles de continuidad de la
evaluación de la seguridad de la información establecidos e
continuidad de la implementados, con el fin de asegurar que
seguridad de la son válidos y eficaces durante situaciones
información. adversas.
A.18.2.1 Revisión El enfoque de la organización para la gestión
independiente de de la seguridad de la información y su
la seguridad de la implementación (es decir, los objetivos de
información. control, los controles, las políticas, los
procesos y los procedimientos para
seguridad de la información) se deben
revisar independientemente a intervalos
planificados o cuando ocurran cambios
significativos.

Fuente: COLOMBIA. NORMA TÉCNICA NTC-ISO-IEC COLOMBIANA 27001. Sistema de Gestión

de la Seguridad de la Información. Bogotá D.C.: 2013. p. 13-24.

70
7.6. ESCALA DE VALORACIÓN

Las siguientes escalas de valoración permitirán analizar e identificar cual es la

respuesta más acertada para el tratamiento del riesgo que se está evaluando.

7.6.1. Riesgo Neto. Identifica la valoración del riesgo existente en la organización

antes de tomar acciones o establecer controles que permitan a la organización
reducir su probabilidad de ocurrencia.

7.6.2. Riesgo residual. Identifica la valoración del riesgo existente en la

organización después de que se han tomado acciones o establecido controles que
permiten a la organización reducir su probabilidad de ocurrencia.

Cuadro 22. Cuadro descriptivo de riesgo residual

(Nota: El contenido del Cuadro descriptivo de riesgo residual no se debe

mostrar en el documento ya que es información confidencial de la
Universidad Autónoma de Occidente que está estipulado en el documento
“Sistema de Administración de Riesgos de la Información”).

7.7. EJEMPLOS

Para el desarrollo del proyecto se tuvieron en cuenta como base, los siguientes
activos, amenazas y vulnerabilidades.

7.7.1. Cuadro de ejemplos de activos físicos. En la siguiente tabla se plantean

una serie de activos físicos que pueden llegar a ser tenidos en cuenta en la
selección de los mismos:

71
Cuadro 23. Cuadro de ejemplos de activos físicos.

ACTIVO CATEGORÍA
Centro de datos Infraestructura
Computador de escritorio Infraestructura
Computador portátil Infraestructura
Servidor de aplicación Infraestructura
Servidor de archivos (data) Infraestructura
Switch Infraestructura
Router Infraestructura
Modem Infraestructura
Firewall Infraestructura
Medios extraíbles (usb, cd-room, disco Infraestructura
duro)
Red de cableado Infraestructura
Cintas de Backup Infraestructura
Servidor proxy Infraestructura
Servidor DHCP Infraestructura
Central telefónica Infraestructura
Red telefónica Infraestructura

Fuentes de alimentación Equipamiento Auxiliar

Sistema de alimentación ininterrumpida Equipamiento Auxiliar
(UPS)
Equipos de Climatización Equipamiento Auxiliar
Sistema contra incendio Equipamiento Auxiliar
Fuente: Activos Físicos de Información, [en línea], [consultado el 01 de Abril de 2014]. Disponible
en Internet: [Link]

7.7.2. Cuadro de ejemplos de amenazas. En la siguiente tabla se plantean una

serie de amenazas que pueden llegar a ser tenidas en cuenta en la selección de
las mismas:

Cuadro 24. Cuadro de ejemplos de amenazas informáticas

AMENAZAS CATEGORÍA
Acceso no autorizado al centro de datos Cumplimiento
Incumplimiento en el mantenimiento/ Cumplimiento
chequeo del sistema de información
Uso no autorizado del equipo informático Cumplimiento

72
Cuadro 24 (Continuación)
AMENAZAS CATEGORÍA
Uso de software sin licencia Cumplimiento
Uso de software prohibido Cumplimiento
Uso de software infectado por malware Cumplimiento
Creación de cuentas de usuario sin Cumplimiento
autorización
Hurto de documentos Cumplimiento
Hurto de equipos informáticos Cumplimiento
Destrucción de información Cumplimiento
Divulgación de información Cumplimiento
Fugas de información Cumplimiento
Errores humanos Cumplimiento
Hurto de información Fraude interno/externo
Abuso de privilegios / derechos Fraude interno / externo
Falsificación de privilegios / derechos Fraude interno / externo
Inserción/Alteración accidental de Fraude interno/externo
información
Inserción/Alteración de información. Fraude interno/externo
Acceso no autorizado al Centro de Datos Fraude interno/externo
Acceso forzado al Centro de Datos Fraude interno/externo
(intrusión)
Manipulación con hardware Fraude interno/externo
Sabotaje Fraude interno/externo
Falla suministro eléctrico Interrupción y Fallas del Sistema
Falla del equipo informático Interrupción y Fallas del Sistema
Errores de hardware Interrupción y Fallas del Sistema
Errores de administrador Interrupción y Fallas del Sistema
Errores de los funcionarios Interrupción y Fallas del Sistema
Errores de actualización y/o mantenimiento Soporte y Entrega del Servicio
de equipos (hardware)
Amenazas a los equipos informáticos Física
relacionadas con la calidad de aire
(temperatura y humedad)
Humo e incendios Física
Filtraciones de líquidos Física
Contaminantes peligrosos suspendidos en Física
el aire
Terremotos, inundaciones, tormentas, Física
avalanchas, etc.
Fuente: Amenazas Informáticas, [en línea], [consultado el 01 de Abril del 2014]. Disponible en
Internet: [Link]
[Link]
en_centro_de_datos.pdf.

73
7.7.3. Cuadro de ejemplos de vulnerabilidades.

En la siguiente tabla se plantean una serie de vulnerabilidades que pueden llegar

a ser tenidas en cuenta en la selección de las mismas:

Cuadro 25. Cuadro de ejemplos de vulnerabilidades informáticas

VULNERABILIDADES
Falta de protección física en puertas
Acceso no protegido a las instalaciones informáticas
Sistemas contra incendios insuficientes
Diseño deficiente de edificios
Construcción deficiente de edificios
Materiales inflamables empleados en la construcción
Falta de protección física en las ventanas
Paredes que se pueden asaltar físicamente
Paredes interiores que no sellan la sala por completo tanto en el techo como en
suelo
Instalación situada sobre una línea de error
Instalación situada en una zona de inundaciones
Instalación situada en un área de avalanchas
Falta de revisiones de hardware
Sistemas sin proteger físicamente
Falta de procedimientos
Falta de asignación de responsabilidades en la seguridad de la información
Falta de planes de continuidad
Falta de políticas sobre el uso de computadores portátiles
Falta de procesos disciplinarios referentes a los incidentes de seguridad de la
información
Falta de revisiones regulares por parte de la gerencia
Fuente: Vulnerabilidades Informáticas, [en línea], [consultado el 01 de Abril del 2014]. Disponible
en Internet: [Link] .

74
 8. METODOLOGÍA DE LA INVESTIGACIÓN

La metodología y seguimiento de este proyecto es Agile Unified Process (AUP).

AUP es una adaptación de UP (marco de desarrollo software iterativo e
incremental), formalizada por Scott Ambler. AUP se preocupa especialmente de la
gestión de riesgos. Propone que aquellos elementos con alto riesgo obtengan
prioridad en el proceso de desarrollo y sean abordados en etapas tempranas del
mismo. Para ello, se crean y mantienen listas identificando los riesgos desde
etapas iniciales del proyecto. Especialmente relevante en este sentido es el
desarrollo de prototipos ejecutables durante la base de elaboración del producto,
donde se demuestre la validez de la arquitectura para los requisitos claves del
producto y que determinan los riesgos técnicos.
Al igual que en RUP, en AUP se establecen cuatro fases que transcurren de
manera consecutiva y que acaban con hitos claros alcanzados:

 Concepción: El objetivo de esta fase es obtener una comprensión común

cliente – equipo del desarrollo del alcance del nuevo sistema y definir una o
varias arquitecturas candidatas para el mismo.
 Elaboración: El objetivo es que el equipo de desarrollo profundice en la
comprensión de los requisitos del sistema y en validar la arquitectura.
 Construcción: Durante la fase de construcción el sistema es desarrollo y
probado al completo en el ambiente de desarrollo.
 Transición: El sistema se lleva a los entornos de preproducción donde se
somete a pruebas de validación y aceptación y finalmente se despliega en los
sistemas de producción.

Las fases a contemplar para el desarrollo de este proyecto son:

Fase Concepción:

 1. Recolectar información sobre el centro de datos de la Universidad Autónoma

de Occidente.
 2. Identificar los activos de información más importantes del centro de datos.
 3. Definir el alcance del proyecto.
 4. Estimación del costo y cronograma del proyecto.
 5. Asegurar el compromiso de la Dirección del proyecto.
Fase de Elaboración:

 6. Planificación del proyecto.

 7. Identificar los controles de la seguridad física utilizando las normas ISO/IEC
27001: 2005 y norma ISO/IEC 27002: 2005.

75
 8. Análisis de riesgos relacionados con el proyecto.
 9. Definir una metodología para la clasificación de los riesgos asociados a los
activos del centro de datos de la Universidad Autónoma de Occidente.
 10. Realizar los modelos de gestión de información del centro de datos.
 11. Identificar y evaluar las amenazas y vulnerabilidades de los activos según
la seguridad física del centro de datos.
 12. Calcular el valor del riesgo asociado a cada activo.

Fase de Construcción:

 13. Identificar los controles correctos de la Seguridad Física de los centros de

datos de la Universidad.
 14. Habitar el centro de datos en un buen espacio donde no tenga el riesgo de
desastres naturales.
 15. Generar la documentación pertinente a la Seguridad de la Información de la
Seguridad Física del Centro de datos.
 16. Decidir cuál de las normas es la más indicada para la Seguridad Física del
Centro de Datos.

Fase de Transición:

 17. Entregar el proyecto “Identificación de los controles de Seguridad Física de

los Centros de Datos de la Universidad Autónoma de Occidente”.

76
 9. RESULTADOS

Teniendo en cuenta el análisis realizado es indispensable considerar los riesgos

que se obtuvieron en la valoración de la matriz de los riesgos y algunas políticas
que permitan gestionar de manera adecuada la seguridad de la información en el
Centro de Datos de la Universidad Autónoma de Occidente.

9.1. ANÁLISIS DE RIESGOS DEL CENTRO DE DATOS

Basándose en el análisis realizado, con las Prácticas Estratégicas y las Prácticas
Operacionales del Catálogo de Prácticas enfocado en la Metodología Octave se
encontraron las vulnerabilidades y amenazas (Presente en el inciso de Anexos
con el nombre de “Anexo B. Catálogo de Prácticas – Metodología Octave”) los
resultados obtenidos a partir del análisis del Catálogo de Prácticas para el análisis
de riesgos del Centro de Datos fueron los siguientes:

 Según El Cuadro Descriptivo de Riesgo Residual y la Matriz de Riesgos los

siguientes Riesgos que estuvieron en la Línea de Riesgo Aceptable y que se
deja tal cual su situación actual evitando adelantar alguna actividad al respecto:
 R3.
 R4.
 R5.
 R7.
 R20.
 R22.
 R25.

 Según El Cuadro Descriptivo de Riesgo Residual y la Matriz de Riesgos los

siguientes Riesgos que estuvieron en la Línea de Riesgo Evaluación y que
como conclusión se deja tal cual su situación actual evitando adelantar alguna
actividad al respecto, sin embargo de ser posible se monitoreará:
 R1.
 R2.
 R13.
 R14.
 R15.
 R16.
 R17.
 R18.
 R19.
 R26.
 R27.

77
  R28.
 R33.
 R45.
 R46.
 R47.
 R49.
 R52.

 Según El Cuadro Descriptivo de Riesgo Residual y la Matriz de Riesgos los

siguientes Riesgos que estuvieron en la Línea de Riesgo Inaceptable y que
como conclusión se deben adelantar actividades las cuales aporten a su
mitigación en donde se generarán Planes de Mitigación de Riesgos y
Estrategias de Protección:
 R6.
 R8.
 R9.
 R10.
 R11.
 R12.
 R21.
 R23.
 R24.
 R29.
 R30.
 R31.
 R32.
 R34.
 R35.
 R36.
 R37.
 R38.
 R39.
 R40.
 R41.
 R42.
 R43.
 R44.
 R48.
 R50.
 R51.
 R53.
 R54.
 R55.
 R56.
 R57.

78
  R58.
 R59.
 R60.
 R61.
 R62.

9.2. RECOMENDACIONES PARA LOS CONTROLES EXISTENTES DEL

CENTRO DE DATOS
Con los 62 Riesgos obtenidos para el Centro de Datos de la Universidad
Autónoma de Occidente (Presente en el inciso de Anexos con el nombre de
“Anexo C. Análisis de Riesgos”), en esta matriz se puede observar que hay
controles que existen pero a la misma vez no existen por el cual si deberían existir
para que la mitigación del riesgo se cumpla para el Centro de Datos. Las
recomendaciones para los Controles Existentes del Centro de Datos se presentan
en “El Plan de Mitigación de Riesgos y Estrategias de Protección para el Centro de
Datos” representado como el Anexo D. con el nombre de Controles de la ISO
27002 seleccionados.

9.3. POLÍTICA ESPECÍFICA DEL CONTROL DEL ACCESO FÍSICO AL

CENTRO DE DATOS
(Nota: El contenido de la Política Especifica del Control de Accesos Físico al
Centro de Datos no se debe mostrar por el cuál es información confidencial
de la institución universitaria del documento estipulado “Plan de Mitigación
de Riesgos y Estrategias de Protección del Centro de Datos”).

79
 10. CONCLUSIONES

√ Con la descripción de los lineamientos del Sistema de Administración de

Riesgos Integral (SARI), se tuvo la oportunidad de conocer todas las directrices
planteadas para cumplir y garantizar que todas las acciones que se realizan en
el contexto de seguridad de la información, para ello se debe lograr mitigar y
minimizar las consecuencias de los riesgos a los que se expone el Centro de
Datos de la Universidad Autónoma de Occidente. Con la descripción se logra
comprender de manera más precisa que el Activo de Información el Centro de
Datos es un activo crítico el cual son activos que se relacionan con la
información de mayor criticidad para la Institución Universitaria. Con lo
anteriormente dicho se debe entender que el Centro de Datos es un activo de
información más importante ya sea para la División de Tecnologías como para
la Universidad Autónoma de Occidente.

√ Al aplicar los lineamientos del Sistema de Administración de Riesgos Integral

(SARI), se logró apropiarse de manera adecuada del sistema que permite la
valoración de las amenazas, valoración de las vulnerabilidades, la valoración
del control, valoración del riesgo neto y la valoración del riesgo residual. Con la
aplicación de los lineamientos se logra entender que riesgos para el Centro de
Datos son Inaceptables y toca hacer seguimiento a esos riesgos por medio de
controles.

√ Con el Catálogo de Prácticas de la Metodología Octave se logra identificar las

vulnerabilidades organizacionales con sus respectivas amenazas y las
vulnerabilidades tecnológicas con sus amenazas. Es importante indicar que
con la descripción de los lineamientos del Sistema de Administración de
Riesgos Integral se comprendió identificar el Responsable del Centro de Datos
y el Custodio del Centro de Datos. Con el Responsable y el Custodio se
lograron realizar encuestas o entrevistas con una serie de preguntas aplicando
Normas ISO 27001 e ISO 27002.

√ A partir del análisis de riesgos a los que se expone el Centro de Datos que es
un activo crítico de la Institución Universitaria se logró identificar que hay
controles tanto organizacionales como controles tecnológicos. Pero lo que se
debe mejorar es la documentación, procedimientos, políticas que debe
presentar la División de Tecnologías con los controles organizacionales y los
controles tecnológicos.

80
√ Con el Plan de mitigación de Riesgos del Centro de Datos permitió cumplir con
el objetivo principal con la Identificación de los Controles de la Seguridad
Física, toda vez que esté consiste en proponer controles que salvaguarden
todas las actividades que se realicen para el Centro de Datos que son
ofrecidos por la División de Tecnologías a la Institución Universitaria. El análisis
de riesgos sólo se realizó para el Centro de Datos empleando plantear
oportunidades de mejora para los controles más físicos que organizacionales y
debido a esto se planteó una política específica para el control de acceso físico
al Centro de Datos.

81
 11. RECOMENDACIONES

Teniendo en cuenta una proyección a futuro en el campo de seguridad de la

información se le recomienda al Centro de Datos de la Universidad Autónoma de
Occidente de Cali (Nota: Esta recomendaciones son para tener en cuenta
proyectos a futuros para el Activo de información. Las recomendaciones a fondo
para el Centro de Datos se encuentran en un documento estipulado “Plan de
Mitigación de Riesgos y Estrategias de Protección para el Centro de Datos”, y no
se debe mostrar debido a que es información confidencial para la Universidad):

√ Se desarrolló un Plan de Mitigación de Riesgos para el Centro de Datos en

términos de controles mitigando los riesgos que se obtuvieron para el Activo de
Información. Sin embargo es indispensable que, una vez identificado los
controles, se desarrolle una auditoría general para verificar si se cumplen o no
con los controles que se recomendaron para el Centro de Datos de la División
de Tecnologías.

√ Para el análisis de riesgos se tomó como en el peor de los casos la parte

donde no existían los controles para algunos de los riesgos identificados en el
proyecto, donde se propone que solo los riesgos que tomen un nivel de
aceptación del riesgo inaceptado serán tratados como mejoramiento para el
Centro de Datos cumpliendo con controles adecuados. A partir de la matriz
consignada en el Anexo C se pueden identificar riesgos con niveles medios
que se recomienda para proyectos futuros ser cambiados a una valoración
aceptable.

Para continuar con el Plan de dar a conocer las oportunidades de mejora para el
Centro de Datos fue necesario indicar al Plan de Mitigación de Riesgos que
documentación, política o procedimientos se debe cumplir para mitigar los riesgos
que se encontraron para el Centro de Datos de la División de Tecnologías. Para
este proyecto se utilizó el Catálogo de Prácticas de la Metodología Octave (Ver en
el inciso de Anexos con el nombre de Anexo B. Catálogo de Prácticas –
Metodología Octave), en este Catálogo se incluyeron dos Prácticas, la primera es
la Estratégica y la segunda es la Operacional. En donde se especifica que las
Prácticas Estratégicas son dedicadas a la parte organizacional del Centro de
Datos y las Prácticas Operacionales son dedicadas a la parte tecnológica del
activo de información. Para ello se desarrollan las siguientes recomendaciones
para indicar a los responsables del Centro de Datos que se deben tener en cuenta
para tener un buen mejoramiento para los controles organizacionales y los
controles físicos:

82
Para la parte organizacional del Centro de Datos:

√ Se recomienda para tener un plan de mejoramiento del Centro de Datos en los

controles organizacionales que se desarrolle una documentación y verificación
para las estrategias de seguridad, metas y objetivos del Centro de Datos.

√ Se recomienda para tener un plan de mejoramiento en la parte organizacional

del Centro de Datos que se desarrolle una documentación para las normas,
políticas y procedimientos del Centro de datos.

√ Se recomienda para tener un plan de mejoramiento que se tenga un

compromiso, capacitación, revisión y documentación de la Alta Dirección para
trabajos con entes externos en las políticas y procedimientos para el activo de
información.

√ Se recomienda para tener un plan de mejoramiento que se tenga un

compromiso, capacitación, revisión y documentación de la Alta Dirección para
los planes de recuperación de desastres y de contingencia del Centro de
Datos.

√ Se recomienda para tener un plan de mejoramiento en la parte organizacional

obtener una integración entre las estrategias y objetivos institucionales por
parte de la Alta Dirección y las estrategias de seguridad del Centro de Datos
por parte del Custodio del activo de información.

√ Se recomienda para tener un plan de mejoramiento en el Centro de Datos un

documento donde se incluya la asignación de roles y responsabilidades de la
seguridad de la información.

√ Se recomienda para tener un plan de mejoramiento en la parte organizacional

contacto con los grupos especializados en seguridad de la información
obteniendo capacitaciones y conocimientos por medio de las personas
expertas en el tema.

83
√ Se recomienda para tener un plan de mejoramiento en el Centro de Datos una
revisión independiente de la seguridad física del activo de información,
teniendo registros del estado de la seguridad física.

√ Se recomienda para tener un plan de mejoramiento para la parte

organizacional del Centro de datos desarrollar o tener un documento que esté
aprobado, revisado y firmado por la Alta Dirección de planes de Continuidad
del Negocio, planes de Contingencia y planes de Recuperación de Desastres.

Para la parte tecnológica del Centro de Datos:

√ Se recomienda para tener un plan de mejoramiento para la parte tecnológica el

desarrollo de una documentación, revisión, aprobación y actualización del plan
de protección de las instalaciones para mitigar los riesgos del perímetro de
seguridad física del Centro de Datos.

√ Se recomienda para tener un plan de mejoramiento para la parte tecnológica

del activo de información el desarrollo de un documento de lineamientos y
procedimientos para el control de acceso físico a personal externo al Centro de
Datos.

√ Se recomienda para tener un plan de mejoramiento el desarrollo de

documentación de políticas y procedimientos para el control de acceso físico
por parte de los usuarios de la División de Tecnologías del Centro de Datos.

√ Se recomienda para tener un plan de mejoramiento para la parte tecnológica

del Centro de Datos obtener la documentación de procedimientos para la
verificación de autorización del control de acceso físico para el activo de
información.

√ Se recomienda para tener un plan de mejoramiento para la parte tecnológica

tener controles para salvaguardar las estaciones de trabajo que contienen
información confidencial del Centro de Datos.

84
√ Se recomienda una documentación efectiva para la reparación física a los
equipos físicos que necesitan un mantenimiento continuo en el Activo de
información.

√ Se recomienda una documentación para los procedimientos y

responsabilidades a los incidentes de seguridad que incluye incidentes de
acceso físico al Centro de Datos.

85
 BIBLIOGRAFÍA

Activos Físicos de Información, [en línea], [consultado el 01 de Abril de 2014].

Disponible en Internet:
[Link]

Activos Físicos de TI, [en línea], [consultado el 30 de Marzo de 2014]. Disponible

en Internet: [Link]
[Link].

Amenazas Informáticas, [en línea], [consultado el 01 de Abril del 2014]. Disponible

en Internet: [Link]

[Link]
menazas_fisicas_en_centro_de_datos.pdf.

Avantium Business Consulting, Gestión de Riesgos: Norma ISO/IEC 31000: 2009,

[en línea], consultado el 05 de Julio del 2013, disponible en
Internet:[Link]

BISOGNO, María Victoria. Metodología para Aseguramiento de Entornos

Informatizados [en línea]. Trabajo de grado Ingeniero Informático. Buenos Aires:
Universidad de Buenos Aires. Facultad de Ingeniería, 2004. 234 p. [consultado: 14
de Noviembre 2013]. Disponible en: [Link]
[Link].

Catálogo de Prácticas Octave [en línea], consultado el 20 de Enero de 2014,

Disponible en Internet: [Link]
services/octave/[Link].

COLOMBIA. NORMA TÉCNICA NTC-ISO-IEC COLOMBIANA 27001. Sistema de

Gestión de la Seguridad de la Información. Bogotá D.C.: 2013. p. 13-24.

86
Concepto de Seguridad Informática, Empresa Yumbo ESPY, [en línea], consultado
el 10 de Junio del 2010, disponible en Internet:
[Link]
&id=78:segu.

Concepto de Vulnerabilidad y Amenaza, [en línea], consultado el 08 de Febrero

del 2014, Disponible en Internet:
[Link]

Controles de la Norma ISO/IEC 27002: 2013, [en línea], consultado el 26 de Marzo

de 2014. Disponible en Internet: [Link]

Dominios de la Norma ISO/IEC 27002: 2013, [en línea], [consultado el 26 de

Marzo de 2014]. Disponible en Internet:
[Link]
des%20de%20la%20ISO27001ISO%2027002%20-%20Paloma%[Link].

ESTADOS UNIDOS, NORMA ANSI/TIA 942. Norma de Telecomunicaciones de

Infraestructura para Centro de Datos. 2005. 142 p.

Estándares y Normas de Seguridad, [en línea], consultado el 10 de Febrero del

2014. Disponible en Internet: [Link]

La Serie de la Norma ISO/IEC 27000, [en línea], consultado el 10 de Febrero de

2014. Disponible en Internet: [Link]

Manual de Políticas y Estándares de seguridad Informática, Estándares de

Seguridad Física,[en línea], consultado el 24 de Septiembre del 2013, disponible
en Internet: [Link]
Estandares-de-Seguridad-a-Para-Usuarios.

87
Niveles de Centro de Cómputo (Tiers) según la Norma ANSI/TIA 942 [en línea],
consultado el 20 de Marzo del 2014, disponible en Internet:
[Link]

Norma ISO/IEC 27001: 2013, [en línea], consultado el 26 de Marzo de 2014.

Disponible en Internet: [Link]
iso-270002013-cambios-en-la-norma-para-gestionar-la-seguridad-de-la-
informacion/.

Norma ISO/IEC 27002: 2013, [en línea], consultado el 26 de Marzo de 2014.

Disponible en Internet:
[Link]

PELÁEZ CÓBAR, Walleska; CHANCHAVAC CON, Silvia Leticia; FLORES

VALENZUELA, Jorge Iván. Seguridad en Centro de Cómputo. Trabajo de Grado
Licenciado en Administración de Sistemas de Información, [en línea], [consultado
el 26 de Marzo de 2014]. Disponible en Internet:
[Link]

Portal de ISO 27001, Glosario de definición de las características de la seguridad,

[en línea], consultado el 10 de Junio del 2013, disponible en Internet:
[Link]

ROJAS, Jorge. Principios de Seguridad Informática. Colombia – Cali, 2013 – 2014.

57 p.

Seguridad de la Información, Información sobre la Seguridad Física, [en línea],

consultado el 24 de Junio del 2013, disponible en Internet: [Link]
[Link]/fisica/.

Vulnerabilidades Informáticas, [en línea], [consultado el 01 de Abril del 2014].

Disponible en Internet:
[Link]

88
 ANEXOS

Anexo A. Información sobre el Activo del Centro de Datos

(Nota: El contenido del Anexo A. Información sobre el Activo del Centro de

Datos no se debe mostrar en este documento por el cual contiene
información confidencial de la Institución Universitaria Autónoma de
Occidente).

89
Anexo B. Catálogo de Prácticas – Metodología Octave

A continuación se muestran las preguntas de las Prácticas Estratégicas y

Prácticas Operacionales teniendo en cuenta para el análisis de las
vulnerabilidades organizacionales y vulnerabilidades estratégicas:

Prácticas Estratégicas
Anexo B.1. Conciencia de Seguridad y formación (SP1)

SP1.1.

 ¿Existe para el Centro de Datos una definición de roles y responsabilidades

respecto con la seguridad de la Información?
 ¿Esto está documentado y verificado los roles y responsabilidades en la
seguridad de la información para el Centro de Datos?
SP1.2.

 ¿Existen reuniones por la Alta Dirección hacia los recursos de los servicios,
tecnologías o mecanismos del Centro de Datos?
 ¿Esto está documentado y verificado las reuniones por la Alta Dirección para el
centro de datos?
SP1.3.

 ¿Existe un compromiso, capacitación y revisión continua por todo el personal

del centro de datos?
Esto incluye:
o Las estrategias de seguridad , metas y objetivos
o Las normas de seguridad , políticas y procedimientos
o Políticas y procedimientos para trabajar con terceros
o Los planes de recuperación de desastres y de contingencia
o Requisitos de seguridad física
o La gestión de incidentes
o Prácticas generales de personal
o Cumplimiento, sanciones y acciones disciplinarias por violaciones de
seguridad

90
 ¿Esto está documentado y verificado periódicamente?
Esto incluye:
o Las estrategias de seguridad, metas y objetivos
o Las normas de seguridad, políticas y procedimientos
o Políticas y procedimientos para trabajar con terceros
o Los planes de recuperación de desastres y de contingencia
o La gestión de incidentes
o Prácticas generales de personal
o Cumplimiento, sanciones y acciones disciplinarias por violaciones de
seguridad

Anexo B.2. Estrategia de seguridad (SP2)

SP2.1.

 ¿Existe un orden adecuado para las estrategias del negocio en la seguridad

de la información del Centro de Datos?
SP2.2.

 ¿Existe una integración entre las estrategias y objetivos institucionales y las

estrategias de seguridad para el Centro de Datos?
SP2.3.

 ¿Están documentadas y se revisan continuamente las estrategias de seguridad

del centro de datos?

Anexo B.3. Gestión de seguridad (SP3)

SP3.2.

 ¿La asignación de funciones y responsabilidades de seguridad se especifican

para todos los usuarios que estén relacionados con el centro de datos?
SP3.4.

 ¿Existe contacto con los grupos de interés especializados en seguridad de la

información del Centro de Datos?
SP3.5.

 ¿La alta Dirección identifica los riesgos de seguridad de la información del

Centro de Datos incluyendo
o Evaluación de riesgos?

91
 o Las amenazas internas/externas?
o Toma de medidas para mitigar los riesgos?
o Mantiene un nivel aceptable para el riesgo?
SP3.6.

 ¿El centro de datos cuenta con una gestión en la revisión independiente de la

seguridad de la información de acuerdo a los resultados en
o La revisión de los registros del centro de datos?
o La revisión de auditoría del centro de datos?
o Los incidentes de seguridad del centro de datos?
o Las evaluaciones de riesgos del centro de datos?
o Las revisiones de seguridad física del centro de datos?
o Los planes de mejora de seguridad y recomendaciones del centro de
datos?

Anexo B.4 Planes de contingencia / recuperación de desastres (SP6)

SP6.1.

 ¿Se ha desarrollado e implementado planes de continuidad que incluyen la

seguridad de la información para analizar las operaciones, las aplicaciones y
la criticidad para el centro de datos?
SP6.2.

 ¿El centro de datos cuenta con una documentación de política de seguridad

de la información que se refiera a la continuidad del negocio?
 ¿El centro de datos cuenta con una documentación de política de seguridad de
la información que se refiera al plan de recuperación de desastres?
 ¿El centro de datos cuenta con una documentación de política de seguridad de
la información que se refiera al plan de contingencia para responder a las
emergencias?
SP6.4.

 ¿Los planes de contingencia, recuperación de desastres y continuidad del

negocio del centro de datos se someten a pruebas, mantenimiento y
reevaluación continuamente?
SP6.5.

 ¿Todos los usuarios que está a cargo del centro de datos conoce sobre la
estructura de la planificación de contingencia, recuperación de desastres y
continuidad del negocio?

92
 ¿Todos los usuarios que está a cargo del centro de datos comprenden y son
capaces de llevar a cabo sus responsabilidades de acuerdo a la estructura
para la planificación de contingencia, recuperación de desastres y continuidad
del negocio que tienen sobre el centro de datos?

Prácticas Operacionales
Anexo B.5. SEGURIDAD FÍSICA (OP1)
Anexo B.5.1 Planes de seguridad física y procedimientos (OP1.1)
OP1.1.1.

 ¿Están documentados el plan de protección de las instalaciones para mitigar

los riesgos del perímetro de seguridad física del centro de datos?
OP1.1.2.

 ¿Estos planes de protección de las instalaciones del perímetro físico del centro
de datos son revisados, probados y actualizados continuamente?
OP1.1.3.

 ¿Los procedimientos de seguridad física y sus mecanismos son probados y

revisados continuamente para el centro de datos?
OP1.1.4.

 ¿Para el centro de datos existe una documentación de lineamientos y

procedimientos para gestionar el control de acceso físico de la entrada de
visitantes?
o Escoltas?
o Para registros de acceso?
OP1.1.5.

 ¿Existe documentación de lineamientos y procedimientos de seguridad de la

información para el control físico de hardware y software del centro de datos?

Anexo B.5.2 Control de acceso físico (OP1.2)

OP1.2.1.

 ¿Existen documentos de políticas y procedimientos para el acceso físico

individual y grupal de personas que no estén autorizadas para ingresar al
centro de datos?

93
OP1.2.2.

 ¿Existen políticas, procedimientos y mecanismos del centro de datos que están

documentados para el control de acceso físico a aquellas entidades definidas?
OP1.2.3.

 ¿Existen procedimientos documentados para la verificación de autorización del

acceso físico al centro de datos?
OP1.2.4.

 ¿Las estaciones de trabajo y otros componentes que permiten el acceso a la

información sensible del centro de datos se salvaguardan físicamente para
evitar el acceso físico no autorizado?

Anexo B.5.3. Monitoreo y auditoría de seguridad física (OP1.3)

OP1.3.1.

 ¿Los registros de mantenimiento de los equipos se reducen al documentar las

reparaciones de la instalación de componentes físicos del centro de datos?
OP1.3.3.

 ¿Los registros de auditoría y supervisión de los sistemas de información del

centro de datos se examinan continuamente para detectar anomalías?
 ¿Para esas anomalías en los sistemas de información del centro de datos se
toman medidas correctivas?

Anexo B.6. PERSONAL DE SEGURIDAD (OP3)

Anexo B.6.1. Manejo de incidentes (OP3.1)
OP3.1.1.

 ¿Se ha desarrollado para el centro de datos procedimientos y

responsabilidades a los incidentes de seguridad de la información que están
documentados para la identificación, notificación y respuestas a sospechas de
incidentes de seguridad que incluye incidentes basadas en la red?
o Incidentes de acceso físico?
o Incidentes de ingeniería social?

94
OP3.1.2.

 ¿Estos procedimientos de gestión de incidentes de seguridad de la información

del centro de datos son probados, verificados y actualizados periódicamente?

Anexo B.6.2. Personal prácticas generales (OP3.2)

OP3.2.1.

 ¿Los usuarios encargados del centro de datos cumplen con las buenas
prácticas de las políticas seguridad de la información?
OP3.2.2.

 ¿Todos los usuarios del centro de datos ponen en práctica sus roles y
responsabilidades asignadas para la seguridad de la información?
OP3.2.3.

 ¿Existen procedimientos documentados de políticas de seguridad de la

información para la autorización y el control de quienes trabajan con
información sensible del centro de datos?

95
Anexo C. Análisis de Riesgos

(Nota: El contenido del Anexo C. Análisis de Riesgos no se debe mostrar en

este documento por el cual contiene información confidencial de la
Institución Universitaria Autónoma de Occidente).

Anexo D. Controles de la ISO 27002 seleccionados

(Nota: El contenido del Anexo D. Controles de la ISO 27002 seleccionados no

se debe mostrar en este documento por el cual contiene información
confidencial de la Institución Universitaria Autónoma de Occidente).

96