Trabajo de Investigación Data Center

Trabajo de Investigación

1. Investigar que es un Data Center

2. Objetivos de un Data Center

3. Principales Herramientas usadas para lograr el objetivo

4. Investigar las empresas que tengan Data Center en Puerto Plata y mencionar los nombres y direcciones de las mismas.

5. Seleccionar una de estas empresas que tenga data center e investigar las herramientas que se utilizan en la misma para lograr los objetivos del data center. (Debe mencionar  nombre de la empresa y el teléfono de la persona entrevistada).

6. Visitar a Vinícola

1. Políticas y Procedimientos de un Departamento de cómputos.

2. Diferentes estándares de Certificaciones de las redes data center

3.  Investigar COBI – seguridad  y auditoria

1) Investigar que es un Data Center

es un centro de procesamiento de datos, una instalación empleada para albergar un sistema de información de componentes asociados, como telecomunicaciones y los sistemas de almacenamientos donde generalmente incluyen fuentes de alimentación redundante o de respaldo de un proyecto típico de data center que ofrece espacio para hardware en un ambiente controlado, como por ejemplo acondicionando el espacio con el aire acondicionado, extinción de encendidos de diferentes dispositivos de seguridad para permitir que los equipos tengan el mejor nivel de rendimiento con la máxima disponibilidad del sistema.

2) Objetivos de un Data Center

Una data center te ofrece varios niveles de resistencia, en la forma de fuentes de energía de Backup y conexiones adicionales de comunicación, que puede no ser utilizada hasta que pase algún problema en el sistema primario donde el principal objetivo de un proyecto de data center es ejecutar las aplicaciones centrales del negocio y almacenar datos operativos, donde ofrece las aplicaciones más tradicionales que es el sistema de software corporativocomo Enterprise Resource Planning (ERP) y Customer Relationship Management (CRM).

3) Principales Herramientas usadas para lograr el objetivo

Los componentes más comunes son firewalls, gateways VPN, routers y computadores, servidores de banco de datos, de archivos aplicaciones, web y middleware, todo en hardware físico o en plataformas consolidadas y virtuales izadas.

4) Investigar las empresas que tengan Data Center en Puerto Plata y mencionar los nombres y direcciones de las mismas.

Brugal & Co, C por a

Dirección: Av. Luperón Km.3 1/2 No.3 Puerto Plata, San Felipe de Puerto Plata, Puerto Plata, República Dominicana

Teléfono: (809) 5862531

Fax: (809) 5862263

VINÍCOLA DEL NORTE

cC/ 30 De Marzo No.89 Puerto Plata Puerto Plata, República Dominicana

Licores

Tel: (1) (809) 5862221
Más teléfonos

www.vinicola.com.do

5) Seleccionar una de estas empresas que tenga data center e investigar las herramientas que se utilizan en la misma para lograr los objetivos del data center. (Debe mencionar  nombre de la empresa y el teléfono de la persona entrevistada).

6) Políticas y Procedimientos de un Departamento de cómputos.

El presente documento es aplicable a todos los empleados, consultores, contratistas, colaboradores, practicantes o residentes, incluyendo a todo el personal externo que en algún momento cuente con acceso a los recursos informáticos o información de la empresa.

Sobre la asignación y el uso de los recursos

1. Cada empleado tiene asignado un equipo de cómputo al cual debe ingresar con un usuario y contraseña.
2. El personal debe hacer uso adecuado de los recursos informáticos (PC, impresoras, programas, correo, etc.) y el personal de sistemas debe asegurar que se cumpla esta política. Además, todo el personal deberá informar a sistemas sobre cualquier falla, desperfecto o mal uso del equipo de cómputo, para su adecuado seguimiento.
3. Todo el personal tendrán una cuenta de correo electrónico interno, que les permite recibir y enviar información indispensable para sus actividades. Estas cuentas de correo, sólo son para uso interno, no tienen la capacidad de enviar correos públicos.
4. El uso de internet queda reservado solo para las actividades de trabajo que así lo requieran. En general se restringe el acceso mediante el uso de contraseña en el administrador de contenidos de Internet Explorer.

Sobre la seguridad de la información

5. Diariamente se realizan backups automáticos a la base de datos según los mecanismos establecidos y se realizan a cada hora.
6. Los equipos deberán contar con salvapantallas protegido por contraseña con un tiempo de espera de 1 minuto para evitar accesos no autorizados.
7. Todos los accesos a los programas principales estarán protegidos mediante un mecanismo de usuario y contraseña así como permisos de acceso. De igual forma, las sesiones de Windows personales estarán protegidas con contraseña.
8. Los usuarios deberán abstenerse de divulgar o compartir sus datos de acceso a los programas y sesiones de Windows.
9. Coordinación o sistemas designarán periódicamente nuevas contraseñas tanto para el acceso a las sesiones Windows como para el acceso a los programas.
10. Todos los archivos que viajen por correo y que contengan información sensible deberán estar comprimidos con contraseña de uso interno como medida de seguridad de información.
11. Todos los equipos asignados a los conectores/gestores tendrán deshabilitados los accesos a puertos USB, CD o Diskettes. Esta medida tiene 3 objetivos:

·       Evitar ataques de virus en los equipos y el servidor.

·       Evitar extracciones no autorizadas.

·       Evitar la carga de archivos ajenos a la labor de gestión.

12. Los equipos autorizados para el uso de dispositivos de almacenamiento externos están supervisados por coordinación y por el área de sistemas, para la entrada y salida de información.
13. A todos los equipos se les realizará una revisión de virus por lo menos cada mes, que incluye las siguientes actividades.

·       Actualizar su base de firmas de virus (actualización de la lista de amenazas)

·       Búsqueda de virus (análisis del equipo)

·       Eliminación de  virus si fue detectado.

14. En caso autorizado de memorias USB y discos, es responsabilidad del usuario hacer uso del antivirus antes de copiar o ejecutar archivos para que los equipos no sean infectados. Además los usuarios pueden pedir apoyo al departamento de sistemas para el uso de antivirus.

Sobre el mantenimiento y buen uso de la infraestructura

15. Todos los equipos deberán presentar las últimas actualizaciones de Windows, parches de seguridad y antivirus instalado.
16. Los equipos de toda la agencia deberán de estar conectados a un regulador de corriente, como medida de prevención de variaciones de electricidad.
17. Si se presentara una suspensión de servicio eléctrico y el servidor solo se sostuviera con el no-break, se tendrán que apagar primero todos los equipos de la agencia y posteriormente el servidor.
18. El servidor y la máquina principal del área administrativa deberán conectarse a un equipo no-break para evitar la pérdida de información en los equipos por variaciones o fallas de energías.
19. Una vez al año se realizara una revisión en la red para detectar desperfectos y dar así mantenimiento a la agencia.
20. Periódicamente, por espacio de 4 meses, se realizará una limpieza física a toda la infraestructura de equipo de cómputo por parte del personal de sistemas.
21. Toda actividad elaborada por el equipo de sistemas deberá de estar debidamente documentada para darle seguimiento y que sirva como evidencia en los procesos de auditoria interna.

7) Diferentes estándares de Certificaciones de las redes data center

No es simplemente una sala de equipos electrónicos, es un lugar que hay que diseñarlo siguiendo los estándares internacionales.

¿Qué son los Tiers?

El concepto de Tier nos indica el nivel de fiabilidad de un centro de datos asociados a cuatro niveles de disponibilidad definidos. A mayor número en el Tier, mayor disponibilidad, y por lo tanto mayores costes asociados en su construcción y más tiempo para hacerlo. Al día de hoy se han definido cuatro Tier diferentes, y ordenados de menor a mayor son: Tier1, Tier2, Tier3, Tier4. Este sistema de clasificación fue inventado por el Uptime Institute para clasificar la fiabilidad (y también para hacer negocio certificando los centros de datos, claro está).

Si estás buscando un servicio de alojamiento de servidores, colocación, etc. verás que los diferentes proveedores te ofrecen información de lo más variada sobre sus características y te ofrecen datos interesantes como niveles de redundancia, tamaño del centro de datos, tiempos de respuesta y demás.

Existe un estándar llamado ANSI/TIA-942 Telecommunications Infrastructure Standard for Data Centers, creado por miembros de la industria, consultores y usuarios, que intenta estandarizar el proceso de diseño de los centros de datos. El estándar está orientado a ingenieros y expertos en la materia.

Informe Técnico

Tier 1: Centro de datos Básico: Disponibilidad del 99.671%.

   El servicio puede interrumpirse por actividades planeadas o no planeadas.

   No hay componentes redundantes en la distribución eléctrica y de refrigeración.

   Puede o no puede tener suelos elevados, generadores auxiliares o UPS.

   Tiempo medio de implementación, 3 meses.

La infraestructura del datacenter deberá estar fuera de servicio al menos una vez al año por razones de mantenimiento y/o reparaciones.

Tier 2: Centro de datos Redundante: Disponibilidad del 99.741%.

Menos susceptible a interrupciones por actividades planeadas o no planeadas.

Componentes redundantes (N+1)

Tiene suelos elevados, generadores auxiliares o UPS.

Conectados a una única línea de distribución eléctrica y de refrigeración.

De 3 a 6 meses para implementar.

El mantenimiento de esta línea de distribución o de otras partes de la infraestructura requiere una interrupción de las servicio.

Tier 3: Centro de datos Concurrentemente Mantenibles: Disponibilidad del 99.982%.

Permite planificar actividades de mantenimiento sin afectar al servicio de computación, pero eventos no planeados pueden causar paradas no planificadas.

Componentes redundantes (N+1) Conectados  múltiples líneas de distribución eléctrica y de refrigeración, pero únicamente con una activa.

De 15 a 20 meses para implementar.

Hay suficiente capacidad y distribución para poder llevar a cabo tareas de mantenimiento en una línea mientras se da servicio por otras.

Tier 4: Centro de datos Tolerante a fallos: Disponibilidad del 99.995%.

Permite planificar actividades de mantenimiento sin afectar al servicio de computación críticos, y es capaz de soportar por lo menos un evento no planificado del tipo ‘peor escenario’ sin impacto crítico en la carga.

Conectados múltiples líneas de distribución eléctrica y de refrigeración con múltiples componentes redundantes (2 (N+1) significa 2 UPS con redundancia N+1).

De 15 a 20 meses para implementar.

Por ejemplo, si en la publicidad de un proveedor presume de ser Tier 3, lo que nos está diciendo es que su infraestructura no fallará más de 1.6 horas al año, que no hay interrupciones por mantenimientos planificados y que puede haber eventos inesperados que causen interrupciones del servicio. Hay que recalcar que se refiere a la infraestructura del centro de datos, y que otros aspectos como la disponibilidad de los equipos que van dentro del datacenter se gestionan aparte.

Claro está, es lo que dicen en la publicidad. Ahora, ¿podemos exigir en nuestro SLA un Tier determinado? Pues me temo que la cosa no es tan sencilla, ya que el uso de los Tiers se está usando para publicitar capacidades sin que haya una certificación oficial de ello en la mayoría de los casos. De hecho, el Uptime Institute solo ha certificado unos cuantos Centros de Datos en todo el mundo en los niveles 3 y 4. Por cierto ninguno en España. Así que dudo que un proveedor pueda o quiera realmente garantizar un Tier determinado por contrato. Además, muchos consideran inflexible esta clasificación por ser demasiado cerrada.

8) Investigar COBI – seguridad  y auditoria

Una auditoría de seguridad informática (al igual que las de estado financiero), busca analizar la información de los sistemas informáticos para identificar y enumerar los problemas y vulnerabilidades de todos los sistemas (servidores, estaciones de trabajo, redes de comunicaciones, servicios, etc.) para ofrecer propuestas que solventen o mitiguen estos problemas.

9) Objetivo de una auditoría de seguridad informática

El objetivo de realizar una auditoría de seguridad informática es conseguir información fidedigna del estado de nuestros sistemas de tal forma que se consiga un documento final donde se plasmen qué vulnerabilidades, problemas o fallos de configuración se han detectado, la peligrosidad y criticidad de dichos fallos de seguridad. Así como los procedimientos a realizar para corregir los problemas, o al menos mitigarlos, y quién es la persona responsable de solventar y el mantenimiento los mismos.

Documento final como guía a ejecutar en la resolución de problemas detectados

Este documento final debe servir de guía para que los responsables de sistemas de la empresa sepan qué problemas deben priorizar para reducir las posibilidades de ser víctimas de un ataque que provoque pérdidas a la empresa (ya sea directamente económicas o reputaciones). El hecho de indicar la persona responsable de solventar cada fallo es importante para la asignación efectiva de las tareas y que no se quede ‘en tierra de nadie’ y por ello se obvie el trabajo necesario para solventar los problemas.

Estas auditorías muestran una foto estática de la situación, a nivel de seguridad informática, de los sistemas en un momento determinado.

Debido a esto es importante entender que las auditorias de seguridad requieren de un proceso de análisis periódico que permita detectar nuevas vulnerabilidades debidas bien por la aparición de fallos de seguridad en el software utilizado o bien por la implementación continua de nuevos servicios en la empresa.

De igual forma toda auditoría de seguridad informática debe empezar con el análisis de la documentación de las auditorias anteriores y verificar el cumplimiento, o no, de las soluciones y recomendaciones previas.