IMPLEMENTACIÓN DE UNA

INFRAESTRUCTURA TI

Preparado por:
Ing. Mario García
Ing. Francisco Ismael López Aranda
MSC. Ale Quetzalcóatl Nava Peregrina
Ing. Juan Antonio Camacho Magaña
Ing. Gerónimo Miguel Soliz
Ing. Rafael Salas Villarreal
Ing. Héctor Manuel Contreras Téllez

1
ÍNDICE

Contenido
1. Descripción de la empresa............................................................................................3
2. Plano de ambientes........................................................................................................4
3. Marco normativo como guía de la empresa.................................................................6
4. Organigrama de la empresa...........................................................................................8
5. Hardware del CPD...........................................................................................................8
6. Disposición del rack del CPD......................................................................................12
7. Diagrama de Red Global de la Infraestructura...........................................................13
ANEXO A...............................................................................................................................15
ANEXO B...............................................................................................................................21
ANEXO C...............................................................................................................................27
ANEXO D...............................................................................................................................29
ANEXO E...............................................................................................................................32
ANEXO F...............................................................................................................................33

2
 1. Descripción de la empresa

Antecedentes
La empresa Integral Systems Solutions brinda servicios de desarrollo de aplicaciones Web,
desarrollo de aplicaciones móviles, ambientes híbridos, Redes y Telecomunicaciones
(implementación en proyectos integradores para la empresa pública y privada), Soporte
Técnico y Comercialización de Infraestructura en TI.

Basa sus capacidades en el manejo de tecnologías de punta, trabajadas en entornos de

desarrollo y metodologías ágiles hacen de nuestras aplicaciones y servicios una opción
competitiva y de alto desempeño a corto y mediano plazo.

Misión
Ser una empresa que brinde soluciones integrales en Tecnologías de la Información
equilibrando el concepto de calidad / precio logrando estabilidad, escalabilidad y sobre todo
tranquilidad en nuestros clientes.

Visión
Establecernos como una alternativa a corto y mediano plazo en procesos de
implementación en TI, agregando valor tecnológico de calidad a nuestros clientes.

Servicios que oferta:

 Desarrollo de Aplicaciones Web y Móviles.
 Redes y Telecomunicaciones.
 Comercialización de Infraestructura en TI.
 Soporte Técnico Remoto.

3
 2. Plano de ambientes
La empresa cuenta con disposición física de los ambientes dividido en 2 plantas, la
disposición de los diferentes ambientes se observa en las siguientes figuras:

4
5
Dado el contexto de la empresa, las necesidades que requiere, la disposición y el
auge tecnológico, se inicia la presentación del documento que permite el despliegue
de la infraestructura informática que se requiere.

6
 3. Marco normativo como guía de la empresa

Estándares de cumplimiento

ISO 27001:
Se toma en cuenta la normativa de Sistemas de gestión de la información; la cual esta
establece normas concretas de seguridad de la información para uso de los centros de
datos y otras organizaciones.

ISO IEC 20000-1:

Se toma en cuenta la normativa de Sistemas de gestión de servicios de tecnología de la
información; la cual esta establece un conjunto de estándares para los proveedores de
servicios de TI. Este provee las mejores prácticas para mantener: la seguridad, un servicio
consistente y adoptar nuevas tecnologías a medida que estas se requieran. Incluye los
requisitos del sistema, códigos de prácticas, relación, resolución y procesos de control,
entre otros.

ISO 31000:2018
Se toma en cuenta la normativa de gestión de riesgos, la cual establece las directrices para
que cualquier tipo de organización, sin importar su sector y tamaño, pueda considerar el
riesgo como elemento generador de valor. Esto coadyuva a obtener los objetivos mediante
la toma de decisiones basadas en el riesgo.

Legislación vigente a la que se apega:

Ley Federal de Protección de datos personales en posesión de los particulares

Ley que regula el uso de tecnologías de la información y comunicación para la seguridad
pública del Estado de México.

Última reforma publicada en el periódico oficial: 20 de diciembre de 2016.

Ley publicada en la gaceta del gobierno del Estado de México, el miércoles 14 de mayo de
2014.

ISO 9000
Materiales de instalaciones
 Implementación de certificación de cableado estructurado en instalaciones y clientes.
 Se entrega merma de cableado a empresa recicladora de cable.

Sistemas de equipos
 Se cuenta con la norma en la instalación de servidores, firewalls y equipos de
cómputo con sistemas actualizados, software de seguridad (antivirus, antimalware) y
equipos periféricos nuevos funcionando en excelentes condiciones.
 Respaldos de equipos robustos y equipos de cómputo en caso de fallo en cualquier
de nuestros discos duros contamos con imágenes de respaldo en nuestros
servidores.
Redes
 Contamos con redundancia en la red WAN hacia nuestra red Local en caso de falla
con uno de nuestros proveedores de internet, de la misma manera contamos con
equipos de UPS de respaldo en nuestros equipos de gama alta en caso de
contingencia eléctrica para así brindar un mejor servicio ya sea local o remotamente
hacia nuestros clientes.
 Soporte 24/7 de nuestra área de soporte técnico para así tener la confianza al 100%

7
 de la red y equipos de nuestros clientes.
Plan Operacional
El plan de seguridad y privacidad de la información considera los controles de la norma
NTC/ISO 27001:2015, el análisis de riesgos realizado, los lineamientos del modelo de
seguridad y privacidad de la información.

Riesgos y amenazas
Análisis de riesgos
En este análisis se pretende transmitir el conocimiento de los riesgos asociados a las
plataformas tecnológicas, a los procesos de gestión tecnológica y a los recursos requeridos,
con esto, poder desarrollar controles para establecer planes de tratamiento de los riesgos
con el fin de prevenir, mitigar y reacciones sobre los riesgos a los cuales la empresa se
encuentra expuesta.
Para ello es necesario proteger y salvaguardar la información y la estabilidad de las
plataformas tecnológicas y así cumplir con los estándares mínimos y satisfactorios dentro
de la norma, siendo este un diferencial para poder ofrecer mejores servicios.

Identificación de Activos
Para realizar un análisis de riesgos efectivo, se deben todos los activos de la empresa como
son: todos los recursos relacionados con la gestión e intercambio de información digital y
manual e incluso de recursos humanos (RH).

Identificación de las Amenazas

Una amenaza tiene el potencial de causar daños a activos tales como información,
procesos y sistemas y, por lo tanto, a la entidad.

Las amenazas pueden ser de origen natural o humano, accidentales o deliberadas, éstas se
deberían identificar genéricamente y por tipo (ej. Acciones no autorizadas, daño físico, fallas
técnicas, etc.) algunas amenazas pueden afectar a más de un activo.

● Errores humanos.
La intervención humana en los procesos informáticos siempre está expuesta a que
se cometan errores (intencionados o no). Por ejemplo, un empleado sin los
conocimientos suficientes, o con privilegios superiores a los de su función, puede
realizar acciones que comprometan los datos o produzcan un mal funcionamiento en
los sistemas.

● Desastres naturales.
Es posible que se den situaciones que pongan en peligro los activos informáticos de
la empresa como inundaciones o sobrecargas de red eléctrica.
Los riesgos se producen al existir una amenaza que tenga consecuencias negativas
para los sistemas de información de la empresa. El análisis de riesgos debe recoger
información detallada de todos los riesgos a los que se ven expuestos y cómo
afectan a la empresa.

En esta fase de análisis de riesgos hay que priorizar cada uno, siendo preciso consultar
datos estadísticos sobre incidentes pasados en materia de seguridad.

Detectar Vulnerabilidades
Las vulnerabilidades se presentan en activos informáticos y presentan un riesgo para la
información. Dos ejemplos de vulnerabilidades que suelen encontrarse en el análisis de
riesgos informáticos son la falta de actualización de los sistemas operativos (por lo tanto, no

8
incluyen los últimos parches en materia de seguridad) y el uso de contraseñas de acceso
débiles (contraseñas cortas que no utilizan combinaciones de letras, números, símbolos y
mayúsculas/minúsculas, y que son fácilmente descifrables con procesos automáticos).
Medidas de Prevención y Control
Una vez que se tengan identificadas las amenazas y vulnerabilidades de los sistemas y se
tengan definidos todos los riesgos y sus consecuencias, deben establecerse una serie de
medidas y tratamientos de riesgo con dos objetivos claros: evitar que se produzca el riesgo
o minimizar su impacto en caso de que llegue a producirse.

Medidas consideradas:
● Instalación de software de seguridad y cortafuegos.

● Implementación de sistemas de seguridad en la nube automatizados y planes de DR

(disaster recovery).
● Añadir protocolos de seguridad para reforzar la seguridad de las contraseñas.

● Revisión de los roles y privilegios de los usuarios (con especial cuidado en la

asignación de los roles con mayores privilegios, como los administradores).
● Contratación de un seguro que cubra los daños ocasionados.

● Implementación de sistemas alternativos o duplicados de configuraciones de

servicios y datos para asegurar la disponibilidad del sistema (high availability).

4. Organigrama de la empresa

Responsable
de RRHH

Responsable Responsable
de Ventas Marketing
Direcció n
General
Recepcionista
Responsable Desarrolladores
de Desarrollo de software
Responsable
de Proyectos
Responsable Técnicos de
de Redes y Redes y Soporte
Soporte

5. Hardware del CPD

Dentro de las características, servicios y necesidades de los sujetos inmediatos, tenemos
los siguientes dispositivos como parte de la infraestructura del centro de datos:
Servidores:

9
 Servidores de Cómputo
 Lenovo st250 Server 4 Nuevo
 Supermicro Superserver E300-9D- 1 Nuevo
8CN8TP

Routers
 MicroTik RouterBOARD CCR1036- 2 Nuevo
12G-4S Cloud Core Router

Switches
 Switch Cisco WS-C3750-48TS-S 1 Nuevo
Catalyst 3750 Interruptor Series
 Switch D-Link DGS-1210-48 Web 3 Nuevo
Smart Switch
 Wireless Netgear R6400-100NAR 1 Nuevo
Router

Dispositivos de Respaldo y Seguridad

 Synology DiskStation 2 Nuevo
 Firewall Fortinet Fortigate 200A 1 Nuevo
Equipos de Computo
 OptiPlex 7080 MFF 21 Nuevo
 Optiplex 3080 MFF 2 Nuevo

La siguiente tabla corresponde a un resumen de las características del hardware

mencionado antes:

Lenovo st250 Server

CPU Intel Xeon E2200 - 8c 2.2Ghz, 8 Thread

RAM DDR4 - 64GB 2666Mhz - 2 Modulos/32Gb

ALMACENAMIENTO 8Tb Sata3 Hot swap 4 discos - 2 Tb

RED 3 puertos Ethernet Gig 2 Standart Ports / 1 Main

WIRELESS - -

POWERRESOURCE 800 Watts 2 Fuentes de alimentación

80+ Fuente Redundante
Doble
y Fuente fija de 500 Watts

Supermicro Superserver E300-9D-8CN8TP

10
CPU Intel Xeon D2146 - 8c 2.3Ghz, 16 Threads

RAM RDIMM - 32GB 2666Mhz - 2 Modulos/16Gb

ALMACENAMIENTO 2 Tb Sata3 2 discos - 1 Tb

RED 9 puertos de Red 1 Port IPMP

4 Port 1 Gig
2 Port 10 Gig
2 SPF 10 Gig LanPort

WIRELESS - -

POWERRESOURCE 500 Watts Lockeable Power

Adapter

MicroTik RouterBOARD CCR1036-12G-4S Cloud Core Router

CPU Tilera Tile-Gx36 CPU 8C 1.2Ghz, 8 Threads

RAM SODIMM DDR3 - 4Gb

RED 4 SPF ports -

12 Gig Ports

ADMINISTRACIÓN 1 Port Serial Console -

Switch Cisco WS-C3750-48TS-S

RAM 180Mb DRam -

RED 48 Ports 10-100 BaseT -

4 SPF Ports

ADMINISTRACIÓN 1 Port Serial Console -

Switch D-Link DGS-1210-48 Web Smart Switch

RED 4 SPF ports -

16 Gig Ports

ADMINISTRACIÓN Auto or configurable -

MDI/MDIX

Wireless Netgear R6400-100NAR Router

ANTENA 3 Anclas -

11
MEMORIA 128Mb Flash/256Mb Ram

RED 1 Port Wan -

4 Ports Ethernet Gig

ADMINISTRACIÓN Por Software/navegador -

Synology DiskStation DS 3617xs

CPU Intel Xeon D1527 - 4c

RAM DDR4 - 20GB

ALMACENAMIENTO Sata3 - 32 TB 8 discos de 4Tb

RED 4 Ports 1Gig

WIRELESS -

POWERRESOURCE 500 Watts Lockeable Power

Adapter

Synology DiskStation DS 3617xs

CPU Intel Xeon D1527 - 4c

RAM DDR4 - 20GB

ALMACENAMIENTO Sata3 - 32 TB 8 discos de 4Tb

RED 4 Ports 1Gig

WIRELESS -

POWERRESOURCE 500 Watts Lockeable Power

Adapter

Fortinet Fortigate 200A

RED 8 Puertos 4 puertos de Lan

4 puertos Wan

USB 2 Puertos

12
6. Disposición del rack del CPD

13
7. Diagrama de Red Global de la Infraestructura

14
Detalle de los servidores respecto a sus funciones

15
Nombre Sistema Dirección IP Direcciones Sistema Rol o Servicio
Base IP VM Base VM
Kronos VMware [Link] [Link] Debian  MySQL/Postgres
vSphere [Link] 10.9  Apache web server
Exsi 5.1 [Link] without  Tomcat
[Link] GUI  MongoDB
[Link]  Samba
Hera Vmware [Link] [Link] Debian  Sistema de Control
vSphere 10.9 de Ingreso, Sistema
Exsi 5.1 without de Inventarios,
GUI Sistema de
Finanzas
[Link] Pandora  Monitoreo
FMS 7.0
Hades Windows [Link]  Servidor de
Server Respaldos con
2019 URBackupServer
 Recepción de
configuraciones de
servidores a través
de OpenSSH.
Apollo Windows [Link]  Servidor de correo
Server  Servidor IIS
2019  Servidor de
monitoreo y RDP
 Servidor
PrivadoGitLab
 KiS Antivirus
StationServer
Zeus Vmware [Link] [Link] Windows  Dominio, Políticas
vSphere [Link] Server de Usuarios,
Exsi 5.1 [Link] 2019 Permisos, DNS,
[Link] NAT Privada,
[Link] Archivos
Compartidos,
proxy, VPN
RedServidores,
DHCP, Wsus
[Link] Debian  Servidor Web
10.9 Apache Publica
without
GUI

16
ANEXO A
Políticas Generales De Seguridad

Objetivo.
El presente documento tiene como finalidad establecer los criterios mediante los cuales la
Dirección de innovación y división de tecnologías de la empresa define, la seguridad de la
información para los activos de TI a fin de minimizar el impacto de incidentes a través de los
controles de seguridad establecidos en el presente documento.
Lo anterior considerando la infraestructura de TI en la empresa o cliente, con apego a la
normatividad que resultase aplicable.

Alcance.
El presente documento de criterios de seguridad de la información, obedece a la necesidad
de establecer el marco de operación en materia de seguridad de la información en la
empresa o cliente, que permita:
● Definir los criterios, controles y herramientas que usarán para la seguridad de la
información.
● Integrar controles de seguridad de la información aplicables a la empresa, al sistema
de gestión de seguridad de la información vigente.
● Definir el marco jurídico aplicable al nivel administrativo, tanto interno como externo.

● Establecer los mecanismos para vigilar el cumplimiento del documento de criterios y

controles de seguridad de la información.
La aplicación del presente documento abarca a todas las personas (trabajadores –
empleados, directivos y proveedores) que hagan uso de los diferentes servicios de TI, así
como el acceso a la información de la empresa.

La revisión de este documento será realizada anualmente o antes si es considerado

necesario. Cualquier cambio será comunicado a todos los involucrados a través de los
mecanismos de comunicación que se tengan en la empresa a través de un grupo
estratégico de seguridad de la información.

Justificación
La dirección de innovación y desarrollo tecnológico de la empresa conforme a su manual de
organización tiene las siguientes atribuciones:
● Elaborar y someter a consideración y aprobación de consejo técnico, el plan
estratégico que, en materia de TI se deba instrumentar y operar en las diferentes
unidades administrativas de la empresa, en su respectivo ámbito de competencias.
● Evaluar y promover el adecuado desempeño de la operación de los sistemas de TI
por los usuarios de la empresa.
● Diseñar y desarrollar sistemas y servicios en materia de TI que apoyen las
funciones, sustantivas, administrativas y de control que deberán operar las áreas
administrativas de la empresa conforme a su ámbito de competencia, acorde con los
objetivos y plan estratégico.
● Proporcionar atención y soporte a los usuarios, administrar los bienes, servicios de
infraestructura, así como los demás elementos vinculados con las TI que se
requieran en la empresa, promoviendo el buen uso y operación adecuados.

17
 ● Establecer los criterios que las áreas administrativas de la empresa deberán seguir
para la observancia de las políticas, normas, procedimientos vigentes en materia de
TI y las que además se señalen en la ley, sus reglamentos, acuerdos del consejo
técnico, así como las que encomiende el director general.

Acorde a la política de TI se debe observar lo siguiente:

● La empresa debe de contar con un modelo de administración de la seguridad de la
información orientada a la creación, difusión, supervisión y cumplimiento de la
normatividad que se establezca para este fin.
● La actualización del presente documento deberá realizarse cuando menos una vez
por año.
● El marco normativo de seguridad de la información en la empresa será conformado
por la normatividad interna (reglamento interno, manual de dirección) así como las
disposiciones de Integral Systems Solutions y el acuerdo que dé lugar.

Criterios aplicables a seguridad física y en el personal.

Las áreas catalogadas como seguras, a las que sólo tendrá acceso el personal autorizado,
son:
● Centro de datos (CPD) y administración de servidores.

● Área de equipos de red (cuarto de comunicaciones).

● Área de archivos electrónicos y respaldos de información.

● Área de servicios eléctricos (planta de emergencia y circuitos eléctricos

relacionados).
1. Los accesos a las áreas catalogadas como seguras deberán estar
controlados y vigilados, con apego a las recomendaciones sobre medidas de
seguridad aplicables a los sistemas de datos personales.
2. Los visitantes, empleados, prestadores de servicio o cualquier persona
externa a quienes se les haya otorgado por excepción, autorización de
acceso a las áreas seguras de la empresa, deberá identificarse y señalar el
motivo de la visita, así como indicar el nombre de la persona responsable de
su estancia en las instalaciones y áreas a visitar. El responsable del acceso
al área catalogada como segura que esté en turno deberá registrarlo en una
bitácora de acceso.
3. Dentro de la instalación de la empresa, tanto personal interno como externo
portará gafete de identificación en un lugar visible y queda prohibido ingresar
con gafete de otra persona.

Criterios Aplicables al Control de Acceso.

Propósito: Promover el uso de métodos robustos de autenticación y control de acceso a
sistemas de información, servicios o redes de la empresa con el fin de asegurar que los
usuarios internos, externos, terceros y proveedores con acceso a los servicios de
información no comprometan la seguridad de los mismos.

Alcance: Aplicar a todas las personas (directivos, personal interno o externo, visitantes) que
actúen en nombre de o para la empresa.

18
La implementación de estos controles, los deben de acatar los usuarios y terceros que
tienen acceso a los sistemas de información, servicios, dispositivos o red, con base en las
tareas a desarrollar. Este privilegio debe otorgarse por períodos controlados.
La red LAN de la empresa debe bloquear cualquier acceso no autorizado entre dominios y
segmentos (físicos o lógicos) para evitar que cualquier intromisión se extienda a la totalidad
de la red.

Criterios Aplicables a Mensajería y Correo.

Propósito: Establecer los criterios necesarios que regulen los servicios de mensajería
instantánea y correo electrónico en la empresa, para asegurar el uso racional, confiable y
productivo de estas tecnologías en las actividades de la empresa.

Alcance: Señala los lineamientos para controlar los servicios de mensajería instantánea y
correo electrónico que deberán seguir todas las personas (directivos, personal,
proveedores, etc.) que hagan uso de este servicio.
● El correo electrónico de la empresa es una herramienta de apoyo que debe ser
utilizada única y exclusivamente para envío y recepción de los reportes, notas,
registros, programación de reuniones, envió de ficheros, relacionados a las
actividades de los empleados que contribuya al crecimiento de la empresa y el
desarrollo de proyectos. El sistema de correo electrónico de la empresa es
propiedad de la empresa y por lo tanto éste forma parte de sus sistemas de
información, por lo que el único dueño de las cuentas, contraseñas, mensajes y
contenidos de correo electrónico de la empresa es la empresa. El único responsable
de la cuenta y contraseña asignada, así como del envío, administración de los
mensajes y su contenido es el usuario.
● Por algún caso las cuentas de correo electrónico de la empresa serán usadas para
el envío y/o recepción de asuntos personales, siendo el usuario de la cuenta
responsable de su buen uso.
● En casos relacionados al área legal por parte de RRHH, el administrador o
responsable del CPD tiene la potestad de administrar la o las cuentas de las
relacionadas al caso, únicamente con la aprobación formal de jefe de la empresa o
con la aprobación de 2 directivos superiores.

Criterios Aplicables a Protección de Equipos de Cómputo.

Propósito: Definir los lineamientos de seguridad aplicables a los equipos de cómputo que
procesan, transmiten o almacenan información de la empresa para asegurar el equipo de
cómputo.

Alcance: Este criterio contempla todas las computadoras que procesan, transmiten o
almacenan información de la empresa.
● Todos los equipos deben contar, por lo menos, con antivirus y antispyware.

● Los usuarios deben de reportar a la mesa de atención (Soporte técnico) cualquier

mal funcionamiento de los equipos, servicios, sistemas de información y red de la
empresa, que estén contenidos en su catálogo de servicios.
● Se bloqueará el acceso al panel de control del Sistema Operativo para evitar que los
usuarios puedan modificar el sistema mediante una política de dominio (dentro del
DAC). Estar exentos de este criterio los grupos de soporte técnico y servidores.

19
 ● Los supervisores de informática podrán hacer revisiones de cumplimiento sin previa
autorización para validar la correcta aplicación del presente control. Los usuarios de
los equipos de cómputo asignados son responsables de la seguridad de los
sistemas de cómputo, así como de:
1. El cuidado físico de los equipos de cómputo.
2. El cuidado de la información contenida en los equipos de cómputo.
3. No instalar software que no esté autorizado por la empresa.
4. No tener configuraciones fuera de las normas dictadas por la división de
infraestructura de cómputo personal.
5. No instalar hardware no autorizado.
6. Utilizar únicamente software de la empresa.

Criterios Aplicables a Protección Contra virus y Código Malicioso.

Propósito: Establecer los lineamientos para la administración de mecanismos de
protección contra códigos maliciosos, virus, gusanos, caballos de troya, para disminuir la
posibilidad de ataques a equipos de cómputo, un intercambio seguro y confiable de
información y con esto, contribuir a los objetivos de la empresa.

Alcance: Contempla la protección de servidores, equipos portátiles, de escritorio y

máquinas o computadoras virtuales, contra virus y códigos maliciosos.
Generalidades:
a) Los usuarios tienen prohibido desactivar o eliminar el software de antivirus en los
equipos de escritorio, portátiles, máquinas virtuales o servidores y son responsables
de notificar a la mesa de servicio de la empresa cualquier sospecha de
contaminación.
b) Los proveedores o personal externo con equipos propios que requieran conectarse a
la red de la empresa, deberán contar, por lo menos, con un software antivirus
actualizado y activado, así como también con las últimas actualizaciones del sistema
operativo, de igual forma cumplir con los procedimientos establecidos para ello.
c) Para garantizar la seguridad y evitar diseminación de virus todos los equipos de
escritorio, portátiles, máquinas o computadoras virtuales y servidores que hagan uso
de la red privada virtual, den servicio a internet o se conecten a una LAN, deben
hacer utilizando y teniendo activo el antivirus de la empresa. Será responsabilidad
del usuario aplicar los procedimientos que eventualmente se envíen relacionados a:
virus recientes, propagación de gusanos, actualización urgente de vacuna y revisión
de discos duros.
d) Se debe de canalizar a la mesa de atención los incidentes de virus y códigos
maliciosos reportados por los usuarios.

Criterios aplicables al desarrollo y mantenimiento de sistemas.

Propósito: Definir los controles del proceso de desarrollo y mantenimiento de los sistemas
de información automatizados, para evitar pérdidas, modificaciones y mal uso de los datos
utilizados y generados por los sistemas desarrollados por la empresa y con esto contribuir al
logro de sus objetivos.

Alcance: Contemplar los lineamientos de seguridad para el ambiente de desarrollo y

mantenimiento de sistemas automatizados, llevado a cabo tanto por el personal de la
empresa, como por terceros.
a) Todos los sistemas desarrollados por o para la empresa, tendrán especificaciones
documentadas y revisiones que traten los requisitos de seguridad.
b) En el proceso de desarrollo de sistemas no está permitido para el acceso a dichos
sistemas, utilizar puertas traseras o configuraciones que comprometan la seguridad
de la empresa.

20
Criterios Aplicables a las Bases de Datos.
Propósito: Establecer los controles de seguridad adecuados para respaldar y proteger las
bases de datos utilizadas por la empresa, con el fin de blindar la información sensible y
elevar los niveles de seguridad en las transacciones operacionales|.

Alcance: Aplica a las bases de datos de la empresa, cualesquiera que sean sus formatos y
tamaño, más en aquellas que se encuentren asociadas a aplicaciones críticas de negocios
o que contengan datos de carácter confidencial, reservado, financiero, fiscal o de seguridad
nacional, tal y como se enuncia en la ley de transparencia y acceso a la información pública
y en lineamientos generales para organización y conservación de los archivos de la
empresa, así como aquellas que forman parte del catálogo de infraestructura crítica vigente.

Criterios Aplicables a la Clasificación y Valuación de la Información.

Propósito: Establecer el proceso de clasificación y valuación de la información de la
empresa, de acuerdo a los lineamientos emitidos por el Instituto Federal de Acceso a la
Información, para definir los controles necesarios que permitan la protección de los activos
de la información y disminuir los riesgos asociados.

Alcance: Señala los cuatro niveles de clasificación para los activos de información de la
empresa que deberán ser considerados por todas las personas (directivos, personal,
proveedores, visitantes, etc.) que hagan uso de su información:
a) Impacto. Se refiere a la importancia propia del proceso de la empresa, es decir, el
nivel de afectación en un área administrativa en caso de daño o pérdida de la
información.
b) Confidencialidad. Se refiere a la protección de la información sensible, contra
divulgación no autorizada o intercepción. Esta clasificación debe considerar lo
estipulado en la ley de transparencia y acceso a la información pública.
c) Integridad. Es la salvaguarda de la información, de los sistemas de TI y el software
informático para que, mantengan su exactitud y estén completos.
d) Disponibilidad. Asegurar que la información y servicios vitales sean accesibles a
los usuarios de la empresa cuando lo requieran.

Sanciones
El incumplimiento de las disposiciones establecidas en el documento de criterios y controles
de seguridad de la información, así como también las normas derivadas de las mismas,
serán objeto de sanciones administrativas, independientes a las sanciones de carácter
penal que puedan desprenderse.

21
ANEXO B
CICLO PDCA Y CRITERIOS APLICADOS DE LAS CIES

Uno de los objetivos de la compañía Integral Systems Solutions, es tener actualizados todos
sus procesos con las últimas tecnologías. La información, que siempre será un activo vital
en una organización, puede verse afectada con esos constantes cambios que trae consigo
la rapidez con la que se viene dando la vida, por ende, las entidades deben estar al tanto de
todas las herramientas que existan para protegerla.

Dispuesta para fortalecer la seguridad de la información, se encuentra la norma ISO 27001,

la cual provee a quien la utiliza, una normativa para gestionar los procesos de seguridad. Ya
que además de adquirir ventajas como salvaguardar los datos de manera ordenada, tendrá
confiabilidad ante sus clientes, mejorara la efectividad de sus procesos, hasta podrían tener
más oportunidades de negocio.

Debido a que la información es un activo valioso para cualquier corporación, es de mucha

importancia velar por su seguridad, la cual puede ser establecida bajo normas y políticas
que la protejan y estar incluida bajos modelos como los SGSI, los cuales dictan la manera
de proteger y utilizar la información. La norma ISO 27001 es el estándar que certifica que el
SGSI de la organización cumpla con los controles y parámetros adecuados.

Las compañías pueden certificarse bajo esta norma y esto les traerá beneficios como la
reducción de los costos vinculados a incidentes relacionados con la seguridad, generarán
confiabilidad ante los posibles clientes, y sus empleados conocerán de la importancia de
tener compromiso y sensibilidad hacia la manipulación de la información.

CICLO PHVA
El ciclo de Deming (de Edwards Deming), también conocido como círculo PDCA (del inglés
plan-do-check-act) o espiral de mejora continua, es una estrategia de mejora continua de la
calidad en cuatro pasos, basada en un concepto ideado por Walter A. Shewhart. Es muy
utilizado por los sistemas de gestión de la calidad (SGC) y los sistemas de gestión de la
seguridad de la información (SGSI).

Los Controles Críticos de Ciberseguridad o CIS ControlsTM son un conjunto de 20 controles

priorizados que colectivamente forman mejores prácticas de prevención que mitigan los
ataques más comunes contra sistemas y redes. Estos son desarrollados por una comunidad
de expertos en TI que aplican su experiencia de primera mano cómo defensores
cibernéticos para crear estas mejores prácticas de seguridad aceptadas globalmente.

Las 4 etapas que componen el ciclo PDCA son:

1. Plan (planificar): No se tienen políticas ni control para la seguridad informática así

que se implementa el plan de 20 puntos de las CIES.
2. Do (hacer): Se registra todos los dispositivos de la empresa (computadoras,
servidores, dispositivos móviles, dispositivos de presentación [Tv con conectividad a
internet], etc..) y se implementará firewall, configuraciones como DAC políticas de
control de la red que puedan controlar el uso de dispositivos no autorizados dentro
de la organización, se implementaran contraseñas más seguras, se instalará
cámaras dentro del SITE y un control de acceso mediante huella dactilar.

22
 3. Check (verificar): Se monitoreo los controles de acceso tanto físicos como en
software y se ha detectado que había fallas en la configuración del DAC así mismo
el control de acceso con huella dactilar falló y se envió a garantía con proveedor.
4. Act (Actuar): Después de hacer modificaciones en las configuraciones del DAC ya
no se han detectado problemas, se instaló un nuevo control de acceso con huella
nuevo por garantía erradicando el problema.

PUNTOS DE LAS CIES

Resumen Rápido de Inventario/Activos de Hardware:

Nro. de Equipos de
Área Sistema Base
Computo
Recepción 1 Windows 10
Recursos Humanos 1 Windows 10
Ventas/Marketing 2 Windows 10
Dirección 1 Windows 10
3 Exsi
5 (Servidores)
Sala Servidores 2 Windows Server 2019
1 Windows 10 - ManagerServer
Redes y Soporte 2 Windows 10
7 Dev Web Windows 10
Desarrollo
5 Dev Mobile Windows 10
Sala Responsables 2 Windows 10
Total Equipos 27

Localización Dispositivo Cantidad

Switch D-Link 1
Pasillo - Rack de Conexiones A
Wireless Netgear 1

23
 Router Mikrotik 2
Sala Servidores Router ISP1 2
Switch Catalisty 2
Pasillo – Rack de Conexiones B Switch D-Link 2
Total Equipos 10

Inventario de software autorizado y no autorizado

Software General de Equipos

 Ofimática  MS Office 2019 Bussiness Suite
 Antivirus  Kaspersky Antivirus
 Compresores  Winrar, 7zip
 Lector PDF  Adobe Reader, NitroPDF
 Navegador Web  Chrome, Firefox, Edge
 Reproductores Multimedia  VLC, Aimp
 Soporte Remoto  Team Viewer, AnyDesk, Putty
 Gestión de ficheros  Total Commander, Filezilla
 Librerías  Visual Basic Redistributable c++
JRE 21

Software Especifico
SOFTWARE NO
DEPARTAMENTO SOFTWARE AUTORIZADO
AUTORIZADO
Dirección General Zoom, Webex Cisco
NVu, Sublime Text, VisualStudio Code,
Laragon, ExpressJS, Git, MySQL,
Desarrollo de Software PostgreSQL, Python 2.7 – 3.1, NodeJS,
Selenium, NetBeans, IntellyIDEa,
Cualquiera que no
pyCharm, Vmware
esté dentro de los
Mobileroadie,TheAppBuilderGood
lineamientos de la
Desarrollo Móvil Barber,Appy Pie, AppMachine, VMware,
organización en el
VisualStudio Code, Selenium, NetBeans
apartado de software
Packet tracer,VNC,Team viewer,Any
Redes permitido.
desk, winbox, unifi
Suite Adobe Premier CC, Photoshop,
Ventas y Marketing Zoom, Cisco Webex, Coreldraw,
Anyvideo Converter,
Recepción -

Gestión Continua de Vulnerabilidades

Se usarán las siguientes medidas para tratar de mitigar y tener las menores
vulnerabilidades posibles.
● Tener los S.O actualizados.

● Tener los antivirus actualizados.

24
 ● Revisar alertas que puedan arrojar cualquier software o hardware.

● Cualquier error o alerta se documentará para revisión y solución.

● Se usará software para monitoreo de la RED.

● Monitorear las computadoras de usuarios para evitar posibles vulnerabilidades.

● Revisar parches de seguridad.

Uso controlado de privilegios administrativos

Mediante la implementación del DAC ACL’s centralizadas, dominio, políticas de usuarios,
permisos se controlará quienes pueden acceder a carpetas compartidas y recursos, que
redes se permite DHCP, y gestión de correos electrónicos.

Configuración segura para hardware y software en dispositivos móviles, portátiles,

estaciones de trabajo y servidores
Debido a que los dispositivos electrónicos se entregan con controles básicos, servicios y
puertos abiertos, cuentas o contraseñas predeterminadas, protocolos antiguos
(vulnerables), preinstalación de software innecesario ‐ todos pueden ser explotables en su
estado predeterminado, por esta razón se implementa una configuración estándar que se
hace en el departamento de redes antes de llegar al usuario final, esto depende del
departamento y consta de:
● Unir a dominio la computadora final.

● Instalación de software que el usuario va a usar.

● Planeación de instalación en caso que se tenga que instalar un servidor que

involucre algún protocolo especial.
● Revisión de contraseñas seguras.

● Revisión del software que este esté actualizado a la última versión.

Mantenimiento, monitoreo, y análisis de logs de auditoría

Se instalará un software especializado para el monitoreo y análisis de logs, el cual se

actualizará conformo salgan actualizaciones importantes para siempre mantenerlo al día, se
cuenta con las siguientes características:
● Monitoree y audite cambios críticos de Active Directory en tiempo real.
● Cumpla con los estrictos requisitos de los mandatos reglamentarios, como PCI DSS,
FISMA, HIPAA, SOX, GLBA, GPG 13 y GDPR mediante informes fácilmente
disponibles.
● Receive Reciba información exhaustiva en forma de informes de auditoría sobre
eventos críticos en Azure Active Directory y Exchange Online.
● Utilice informes listos para usar en registros recopilados de máquinas Windows y
Linux / Unix; Servidores web IIS y Apache; Bases de datos SQL y Oracle; y

25
 dispositivos de seguridad perimetral como enrutadores, conmutadores, firewall,
sistemas de detección de intrusos y sistemas de prevención de intrusos.
● Obtenga visibilidad de sus infraestructuras de nube de AWS y Azure.
● Genere alertas en tiempo real cuando se encuentren en su red direcciones IP
globalmente incluidas en la lista negra y URL reconocidas de fuentes basadas en
STIX / TAXII.
● Mejore la seguridad y garantice la integridad de los datos importantes dentro de su
organización.
● Supervise, informe y audite eficientemente sus servidores de Microsoft Exchange.

Protección de correo electrónico y navegador web

Mediante el firewall se estará monitoreando la red LAN para detectar alguna anomalía, se
usaran listas negras de direcciones IP o dominios de correo electrónico sospechoso usando
tanto el antivirus con el firewall para evitar correo spam así como correo electrónico dañino ,
se dará capacitación al personal acerca de cómo detectar un correo sospechoso y como se
debe actuar, se instalaran plugin en el navegador web permitidos que vengan en el paquete
de antivirus como protección web, y adicionalmente se usará firewall analyzer que es un
software de gestión de dispositivos y se monitoreara más exhaustivamente la red, este
mismo cuenta con las siguientes características:
● Diagnosticar conexiones de cortafuegos en vivo.
● Análisis de tendencias para la planificación de capacidad.
● Informes de tendencia de conexión VPN activa.
● VPN Tracker.
● Resolución de usuario / nombre de host para informes.
● Autenticación de usuario externo.

Informes de tráfico y ancho de banda

● Monitoreo de ancho de banda en tiempo real.
● Monitoreo de ancho de banda.
● Analizador de tráfico.
● Monitoreo de URL.
● Monitoreo de uso de Internet para empleados.

Defensas contra malware

El malware es un software que se utiliza para afectar a las personas que usan
computadoras. Tiene una amplia gama de capacidades que incluyen:
● Interrumpir el funcionamiento de la computadora.
● Recopilación de información sensible.
● Suplantar a un usuario o un usuario para que envíe spam o mensajes falsos.
● Obtener acceso a sistemas informáticos privados.

26
Por esto mismo se utilizarán herramientas de protección como:
● Active Directory: para que el usuario no pueda hacer instalaciones de software que
pueda ser dañino para el equipo o la red.
● Se deshabilitará el uso de USB en equipos que no deban tener esta función.

● El antivirus siempre estará activado (Kaspersky Internet Security Agent).

● En caso de que una computadora tenga que usar USB, como en los equipos de la
gerencia, dirección o a fin se usarán un software analizador como es Device Control
Plus.

Limitación y control de puertos de red, protocolos y servicios

Para tener una mejor seguridad de los equipos que entren en la red o que ya son partes de
ella de realizaran las siguientes acciones para que se evite tener alguna vulnerabilidad:
● Se harán pruebas periódicas de pentesting a la configuración de los equipos para
revisar si puede haber alguna vulnerabilidad.
● Cuando se instale un servidor web se analizará a fondo para descartar que no haya
algún puerto o alguna configuración que se pueda explotar.
● No se dejarán las configuraciones por defecto ya que esto puedo dejar puertas
traseras o algún tipo de riesgos.
● Se usará portal cautivo y autenticación con MAC.

● Se cambiarán todas las contraseñas periódicamente para tener mejor seguridad.

Capacidad de recuperación de datos

Para tener respaldo de los sistemas más importantes de la empresa se implementarán

varias medidas para mitigar que se pueda entrar en un paro por un ataque de ramsonware,
perdida de información por error, perdida de información por problemas físicos de la
maquina etc.
● Se instalará un servidor archivos aparte del ya implementado en el servidor para
respaldar lo más importante, será un servidor NAS para rack de 16 bahías /
Expandible a 28 bahías / Hasta 336 TB de la marca Synology con un
almacenamiento inicial de 192TB usando RAID 10 teniendo una capacidad de 32TB
disponibles con tolerancia a fallos.

● Para respaldo automáticos se usará URBACKUP, se harán pruebas de fallos

controlados periódicamente para verificar que cuando haya alguna falla critica se
puedan montar las imágenes sin ningún problema acortando el tiempo de respuesta.

● Toda anomalía se documentará y se revisará para llegar a la solución y que no

vuelva a pasar.

● Los respaldos se guardarán tanto en Disco Duro externo como en la nube en caso
de sufrir daños físicos.

27
 ● Mantener las copias actualizadas.

● No caer en conformismo de que “nunca me va a pasar”.

Políticas de respaldos

1. En caso de usar medios de respaldo removibles, estos deberán ser retirados del
lugar donde se realicen y llevados a otro que garantice el catálogo, la fiabilidad,
seguridad y disponibilidad de estos. (USB, DATS)
2. Los medios removibles deberán ser probados cada 2 meses utilizando para ello una
plataforma de pruebas. Si llegase a presentar pruebas, deberá ser desechado.
3. El encargado de los respaldos (operador o administrador) es el encargado de
documentar todas las actividades relacionadas con los respaldos de información.
4. La recuperación de información, se efectuará con autorización de los responsables
de desarrollo o del jefe de la empresa.
5. Mensualmente deberá ser enviado a la Dirección General, un informe mediante
correo electrónico, indicando la información que fue respaldada y si está
correctamente almacenada.
6. Información que NO es relevante y que resida en los equipos del corporativo, NO
SERÁ respaldada.
7. La utilidad e importancia de la información, será determinada por los diferentes
departamentos.
8. Los respaldos de las bases de datos, serán semanales y se almacenarán por al
menos 6 meses en SAN, y permanecerán durante un año vigentes.
9. Los documentos compartidos, serán semanales y se almacenarán por al menos 1
mes en SAN, y permanecerán durante un año vigente o mientras lo estipulado en
contrato de servicio amerite extensión de ese tiempo.
10. El correo Electrónico y los archivos de cada usuario se respaldarán cada 24 hrs. Con
un respaldo semanal adicional. Solo se respaldará la carpeta MIS DOCUMENTOS.
11. Las configuraciones de los sistemas de los servidores serán enviados al sistema de
respaldos por medio de SSH usando un script en Shell y además estos estarán
programados a efectuarse cada mes.

28
ANEXO C
POLITICA DE CONTRASEÑAS
Las contraseñas o passwords constituyen el mecanismo básico que se emplea para la
autenticación de los usuarios para el acceso a servicios y aplicaciones. La fortaleza del
mecanismo de autenticación basado en contraseña se fundamenta en dos principios
básicos.
● En primer lugar, la contraseña debe ser secreta; sólo debe conocerla el propio
usuario que además es el responsable de su custodia.
● En segundo lugar, no debe ser posible averiguar la contraseña; las contraseñas no
deben ser predecibles ni deducibles a partir de información disponible de forma
pública.

Si alguna de las dos condiciones anteriores no se cumple, se puede comprometer no sólo la

seguridad del usuario sino de toda la empresa ISS. Tenga en cuenta que cualquiera que
conozca su contraseña será reconocido ante los servicios y aplicaciones de la red interna
como usted mismo. Todos los usuarios son responsables de sus contraseñas de acceso a
servicios y aplicaciones y de los accesos que se produzcan haciendo uso de esas
contraseñas.

Requisitos obligatorios de las Contraseñas

Las contraseñas de todos los usuarios que tengan cuenta en la Universidad de Alcalá
deben cumplir los siguientes requisitos:
a. Deberán tener una longitud igual o superior a 8 caracteres
b. Estar compuesta por uno o más caracteres de al menos 3 de estos grupos:
● Letras mayúsculas (de la A a la Z)

● Letras minúsculas (de la a a la z)

● Números (del 0 al 9)

● Símbolos (caracteres no alfanuméricos): ` ~ ! @ # $ % ^ & * ( ) _ + - = { } | [ ] \

:";'<>?,./
c. La contraseña no deberá ser igual a ninguna de las 6 últimas contraseñas usadas
d. No contendrá el nombre de cuenta del usuario o partes de su nombre completo
e. No se deben utilizar palabras que se contengan en diccionarios en ningún idioma
f. La contraseña se deberá cambiar al menos una vez al año. Pasado el tiempo de
caducidad de la contraseña, la cuenta será bloqueada

Recomendaciones sobre uso de Contraseñas

Aparte de los requisitos básicos detallados en el apartado anterior, proporcionamos las
siguientes recomendaciones a la hora de crear una contraseña:

● Evite utilizar secuencias básicas de teclado (por ejemplo: “qwerty”, “asdf”, “98765”…)

● No utilice la letra ñ si viaja mucho y no sabe cómo ponerla en teclados no españoles.

29
 ● No se debe utilizar información personal en la contraseña: nombre del usuario,
apellidos, fecha de nacimiento, aniversarios, nombres de familias, DNI o número de
teléfono.
● Si por algún motivo el usuario dispone de varias cuentas para diferentes servicios
que requiere, no debería emplear la misma contraseña en dichas cuentas.
● Los usuarios no deben emplear la misma contraseña que usan para la cuenta de la
empresa en otros servicios o aplicaciones (por ejemplo, cuentas de correo
electrónico personales, redes sociales, aplicaciones móviles…).
● Existen muchas guías y tutoriales sobre cómo elegir contraseñas. No elija en ningún
caso ninguna de las contraseñas que se muestran como ejemplo.

Algunas recomendaciones orientadas al cambio de contraseñas son las siguientes:

1. Se recomienda que se cambien al menos una vez cada 6 meses.

2. No emplee reglas predecibles o secuenciales de cambio. Por ejemplo, evite crear

una nueva contraseña mediante un incremento secuencial del valor en relación a la
última contraseña, e.g., pasar de Aksjaksj-2014 a Aksjaksj-2015.

3. Si un usuario entiende que su contraseña ha quedado comprometida o la ha cedido

a terceros autorizados por motivos de trabajo o mantenimiento, debe proceder a
sustituirla por otra que no hubiera sido comprometida, de manera inmediata.

4. Las contraseñas proporcionadas por la empresa tras la petición de cambio de

contraseña de un equipo y/o aplicaciones, son consideradas contraseñas
“provisionales”. Por ello, el usuario deberá proceder a sustituir la contraseña
“provisional” por una contraseña personal que cumpla con los requisitos indicados
en el apartado anterior. El usuario deberá realizar este cambio durante el primer
inicio de sesión en su puesto de usuario.

30
ANEXO D
PLAN DE MANTENIMIENTO PREVENTIVO Y CORRECTIVO A INFRAESTRUCTURA
TECNOLÓGICA

INTRODUCCIÓN
Integral System Solutions comprometido con el uso eficiente de las Tecnologías de
Información y Comunicaciones (TIC), en su plan de gestión estratégico de TI, contempla
todo lo referente a los mantenimientos preventivos y correctivos de sus servicios
tecnológicos.

Este plan permite a la empresa contar con un registro detallado de necesidades, falencias e
intervalos de tiempo; variables con las cuales el equipo de TI conoce la naturaleza de la
operación, la calidad de los servicios que se suministran desde los diferentes grupos y los
recursos que pueden requerirse para optimizar su funcionamiento, así como facilitar las
actividades.

El equipo de TI brinda soporte a los usuarios, realizando tareas de administración y

mantenimiento de la infraestructura, los sistemas y plataformas de la infraestructura.

OBJETIVOS
El presente capítulo se divide en el objetivo general y en objetivos específicos para el plan
de mantenimiento de los equipos de Integral System Solutions.

Objetivo General
Describir el cronograma que contenga las actividades necesarias para proporcionar soporte
técnico a la operación de los servicios tecnológicos, para prevenir, mitigar y corregir fallas o
daños, relacionados con los equipos, sistemas de información, seguridad informática y de
red de datos de la empresa; asegurando la prolongación de la vida útil y confiabilidad de los
componentes de la infraestructura tecnológica, con niveles de calidad adecuados,
programando el mantenimiento preventivo y dando solución eficaz a los eventos por medio
de mantenimiento correctivo.

Objetivos Específicos
• Definir las fechas para la realización de los mantenimientos preventivos a los
servicios tecnológicos.
• Mantener en buen estado para prolongar la vida útil los equipos que componen la
infraestructura tecnológica, con lo cual se garantiza la continuidad en la prestación
de los servicios de TI prestado por el área de redes y soporte.
• Establecer un protocolo para el desarrollo de los períodos de mantenimientos
preventivos y correctivos a los equipos que componen la infraestructura tecnológica.
• Designar las actividades de soporte al personal competente.

ACTIVIDADES DE LOS RESPONSABLES

1. Teniendo en cuenta las necesidades de los servicios tecnológicos, las siguientes

corresponden a las actividades a ejecutar por parte del grupo de redes y soporte:
2. Verificar que el software este dentro del inventario.
3. Revisar el estado actual del equipo de cómputo, y en caso de ser necesario
gestionar la garantía con el proveedor correspondiente.
4. Iniciar el proceso de limpieza de cada uno de los equipos informáticos, e
impresoras.

31
 5. Revisar el estado actual del antivirus, comprobar si esta con la respectiva licencia y
firmas actualizadas.
6. Desinstalar todo el software que no disponga de correspondiente licencia
7. Revisar demás equipos de cómputo, hardware y sus periféricos, y si hay que
cambiar algo debe ser debidamente justificado, y reportado, para la sustitución o
cambio de partes.
8. Se debe reportar los mantenimientos en el aplicativo de Service Desk
correspondiente, por parte del técnico, y dar el reporte al coordinador de
infraestructura.

RESPONSABILIDAD
EQUIPO DE TI:
 Implementar los mantenimientos preventivos y correctivos a los servicios
tecnológicos de la empresa de acuerdo con las fechas estipuladas.
 Responder a las solicitudes de ocurrencia de eventos, para mitigar los riesgos.
 Informar del correcto uso a los diferentes usuarios de los servicios tecnológicos.
 Identificar las actividades de soporte que presta el personal de redes y soporte.

USUARIOS
Es responsabilidad de cada usuario el buen uso y manejo que se le dé a los servicios
tecnológicos (hardware y software).
Mantener seguras las contraseñas de acceso y los privilegios otorgados por TI.

PLAN DE MANTENIMIENTO
Para la realización del plan de mantenimiento de los servicios tecnológicos, se tuvo en
cuenta la guía de servicios tecnológicos del Marco de Referencia de Arquitectura
Empresarial de MinTIC para los siguientes pasos:

Fuente: MinTIC, Guía de servicios tecnológicos

Los tipos de mantenimiento que se brinda desde el área de redes y soporte de Información
son:

a. CORRECTIVO.

Es aquel que se realiza de manera forzosa e imprevista, cuando ocurre un fallo, y que
impone la necesidad de reparar el equipo antes de poder continuar haciendo uso de él. En
este sentido, el mantenimiento correctivo contingente implica que la reparación se lleve a
cabo con la mayor rapidez para evitar daños materiales y humanos, así como pérdidas
económicas.

32
 b. PREVENTIVO.

Es aquel que se hace con anticipación y de manera programada con el finde evitar
desperfectos el mantenimiento preventivo consiste en dar limpieza general al equipo de
cómputo y confirmar su correcto funcionamiento, en el caso de los computadores, el
mantenimiento puede dividir en dos, el que se le da al equipo (físico) o hardware y el que
se les da a los programas instalados (lógicos)software.

Plan Mantenimiento de Infraestructura

Seguimiento y Monitoreo:
El cronograma de mantenimientos se ejecutará en el lugar de trabajo, y se acordará con el
usuario la realización del mismo, para no afectar las actividades diarias de los usuarios.
El técnico o especialista encargado de cada frente de trabajo detallado en el cronograma de
actividades reportará al responsable de redes y soporte el respectivo informe
correspondiente al mantenimiento, para después realizar acciones que permitan mejorar y
el plan de acción correspondiente.

Riesgos:
Algunos de los riesgos que se pueden presentar en la ejecución del plan de mantenimientos
son:
• Falta de herramientas como repuestos para cambio durante el mantenimiento.
• Disponibilidad de recursos humanos para la realización del mantenimiento.
• Incumplimiento en los tiempos de respuesta.
• Sucesos imprevistos ajenos a la empresa (Por ejemplo: problemas del servicio de
energía, conflictos sociales contundentes).
• Reporte a destiempo de las fallas por parte de los usuarios.

33
ANEXO E

CARTA RESPONSIVA PARA ENTREGA DE EQUIPOS

DE COMPUTO

Ciudad de México a 06 de mayo de 2021

Departamento Sistemas, Integral Systems Solutions

Asunto: Responsiva del dispositivo de cómputo

Sirva éste como comprobante de entrega del equipo Desktop marca HP con número de
serie H-565214 el cual pertenece a la empresa Integral Systems Solutions, y se entrega a
Francisco Ismael López Aranda para el mejor desarrollo de sus funciones, quien a partir del
día 6 de mayo del 2021 se compromete a resguardarlo y darle un uso estrictamente laboral.
Asimismo, hacemos de su conocimiento que no podrá modificar la configuración del equipo
ni instalar software sin ser previamente autorizado.
Sin más por el momento, quedo a sus órdenes.

ATENTAMENTE

Receptor Otorga
_________________________ ____________________________
Rodrigo Pérez Rendón Francisco Ismael López Aranda
Dpto. de Recursos Humanos Dpto. de Sistemas

34
ANEXO F

Cableado Estructurado
 El correcto funcionamiento del sistema de cableado es tan importante que en
muchas instalaciones se exige la certificación de cada uno de los cables, es decir, se
compara la calidad de cada cable con unos patrones de referencia propuestos por
un estándar.
 En el caso de los cables de cobre, la norma comúnmente utilizada es la ANSI/TIA/.
 EIA-TSB-67 del año 1995, la norma EIA/TIA 568 y su equivalente norma ISO
IS11801.
 Añadiendo un sistema puesto a tierra con base en la normativa J-STD 607.

Nuestra estructura de cableado Horizontal y Vertical quedaría de la siguiente manera:

Utilizando cables UTP CAT 6A (500 MHz CAT 6A – Calibre 22 AWG) para nuestro cableado
Horizontal. El cual es actualmente vigente en la norma ANSI/EIA/TIA 568B. Es usado en
redes 10 Gigabit Ethernet “10000 Mbps” y está diseñado para transmisión a frecuencias de
hasta 500 MHz. 10 GBASE-T.

35
Para nuestro Cableado Vertical se utilizó Fibra Óptica multimodo de 62.5/125 µm la cual
está diseñada y aprobada para distancias no mayores a 2 Km.

Ahora utilizando el Estándar ANSI / EIA / TIA 606A podremos identificar nuestros enlaces
horizontales y verticales de la siguiente manera:
Horizontal:

Se utilizó el siguiente formato:

FS - AN, en donde:
● FS = identificador del Cuarto para Telecomunicaciones.
● A = uno o dos caracteres alfanuméricos identificando en forma única un Patch
Panel.
● N = dos a cuatro caracteres designando el puerto en un Patch Panel.

Vertical:
Se utilizó el siguiente formato:
FS1 / FS2 - n, en donde:
● FS1 = Identificador para el Cuarto para Telecomunicaciones que contiene la
terminación de uno de los extremos del cable vertebral.
● FS2 = Identificador para el Cuarto para Telecomunicaciones que contiene la
terminación del otro extremo del cable vertebral.
● N = uno o dos caracteres alfanuméricos identificando un único cable con un extremo
terminado en el espacio designado fs1, y el otro extremo terminado en el espacio
designado fs2.

36
37