Conjunto detallado y bien diseñado procesosDespués de que sus procesos son definidos se deben

desarrollar políticas para que los procesos sean seguidos.

Un proceso de la administración de instalaciones físicas debe tener políticas sobre : Administración de activos. Limpieza física del centro de procesamiento de datos. Administración de emergencias. Escalamiento. Monitoreo físico del sitio. Mantenimiento físico. Seguridad física. Las operaciones y controles medioambientales.

2

Si alguien entra en la localidad física del centro de cómputo debe ser pre-autorizado por cierto miembro de la unidad informática, y debe presentar la identificación correcta. Esta identificación podría ser:

ID de empleado (seguridad baja) Exploración de la huella digital y de retina (seguridad alta).

Las Políticas deben señalar lo que se debe o no se debe hacer y su resultado Si una persona trata de entrar en un centro de cómputo y

no reúne ciertos criterios el acceso es negado

Las políticas van a la par con los procesos, y ambos guían todas las operaciones diarias del Centro de Cómputo.

3

El centro de cómputo es probablemente el aspecto más complicado de su compañía. • Las nuevas tecnologías• El brote de la Internet• Adquisiciones• Acumulación de una gran cantidad de información• Seguridad de datos y seguridad física del sitio

Los procesos que usted tiene en el lugar para guiar las operaciones del centro de cómputo son la única y más efectiva llave para administrar eficientemente el centro de cómputo.

Definirlos no es difícil pero si es consumidor de tiempo.

Grupos de preguntas que le ayuden a determinar el valor comercial del método y cómo éste debería ser operado. 4

• ¿Qué acontecimientos provocan alarmas de un centro de cómputo"

• ¿Qué pasos deben tomarse para prevenir esas alarmas"

• ¿Cómo se verificarán esas alarmas" • ¿Cuáles son los pasos del procedimiento de

solución si una alarma ocurre" • ¿Quién será el responsable para resolver el

acontecimiento" • ¿Cómo será contactado en el día o la noche" • ¿Qué tareas pueden ser iniciadas antes de que el

acontecimiento sea resuelto" • ¿Quién declarará que el acontecimiento ha sido

resuelto y que ya no necesita atención" • ¿Quién y cuándo se revisará el acontecimiento para

que no vuelva a suceder 5

Alarma: mecanismo de alerta usado cuando una métrica o lineamiento mencionado en el manual de las políticas, en los procesos o en el SLA no es alcanzado o tiene lugar un incidente mencionado en esos manuales.

Ejemplo:• Si los procesos manifiestan que una alarma se

activará cuando alguien entre al centro de cómputo en horas no laborales

• El personal de limpieza entra en el cuarto del servidor

• Una alerta notificará a la persona que está monitoreo que una violación ha ocurrido. 6

SLA (Acuerdo del Nivel de Servicio ): documento que guía el servicio que un centro de cómputo provee a sus clientes (internos o externos). • Indica cuándo, dónde, cómo el servicio es provisto,

quien es el responsable, y las penalizaciones.

Compañías que Proveen Conectividad (ISP) Sin conectividad, su centro de cómputo no es nada

más que un cuarto de almacenaje de computadoras. Es necesario ser precavido al seleccionar el ISP.

Recomendable tener ISPs para proveer conectividad 24×7x365, a pesar de las interrupciones que se puedan presentar.

Las políticas y procesos deberían guiar la relación con los ISPs 7

 Es imprescindible tener hardware confiable y robusto para el mejor funcionamiento del servidor.

Comprar cables de alta calidad, routers, switches, y racks (estantes).

La red interna se debe diseñar de forma  rígida que incluya respaldos para cada parte activa de la red.

8

 Recientemente, los acontecimientos han creado acuerdos o regulación de conformidad que obligan a revisar cómo se manipulan la información

Desde la recolección hasta el almacenamiento. Todavía no son obligatorios en el país

• Se debe tener por lo menos un conjunto de políticas y procesos adecuados para satisfacer algunos requisitos

• Tomar en cuenta los acuerdos de conformidad en los SLAs:

9

• HIPAA (Acta de Cobertura, Portabilidad y Responsabilidad de Salud)

• Acta Sarbanes-Oxley • Acta del PATRIOTA de EEUU  • Otras regulaciones:

 GLBA,   FISMA,

• Marcos de trabajo que informan cómo cumplir con las regulaciones

COBIT  NIST 

10

Responsabilidades:• Actualización (update)• Mejorar (upgrade) programas• Reemplazo del software Razones• Parche de seguridad le podría obligar a

actualizar uno o más servidores en su centro de cómputo

• Licencias expiradas puede necesitar reemplazo. Cree un plan que esboce qué tanta actualización,

mejoramiento, y reemplazo del software será realizado, y por quién (imprescindible) Asegurar de no dejar de hacer las tareas 11

PresupuestoPeríodo de Inactividad por Fallas (tiempo fuera):Cuánto tiempo es necesario del período de inactividad

para completar una actualización o mejorar. Encaminar las operaciones de una forma diferente hasta

que el proceso sea completadoSi el período de inactividad es menester necesario, decida

cuándo debería ser programado• Es mejor tener previsto el período en las horas de uso

mínimo.Planificación: Realice las actualizaciones operativas del sistema

regularmenteGeneralmente el equipo necesita ser mejorado cada 3 o 5

años.12

Revisión:Aun con un plan, se debería establecer un horario

para revisar todas sus políticas de actualización, mejoramiento y reemplazo de software e incluso de hardware.

Para que el centro de cómputo continúe funcionando efectiva y eficientemente, una revisión cada 6 o 12 meses es imprescindible

Asegurar que el plan que ha estableció aun concuerda con las necesidades del centro de cómputo.

Debe tener acuerdos con todo los departamentos. 13

Se quiere ejecutar una actualización el ultimo viernes de cada mes entre la 1 a 3 A.M. Pero el departamento de contaduría hace un reporte mensual durante esas horas, la actualización y el reporte podrían entrar en conflicto

Hay que trabajar con todos los departamentos para asegurar que las actividades del centro de cómputo no impida la productividad de los departamentos y de la misma empresa. Ayudará a prevenir conflictos y ganar el apoyo.

Finalmente, comunique sus planes para actualizar y remplazar la parte lógica y física de la PC.

Aun cuanto se ha establecido un horario de mantenimiento, hay que notificare al usuario para que no se les olvide. 14

Creando la Calendarización de MantenimientoUno de los aspectos que mas se deben de supervisar

es el mantenimiento. La mayoría de los centros de cómputo están muy

ocupados para ejecutar tareas de manera oportuna• Actualizaciones, reparaciones son usualmente

quitadas o retrasadas• Dejando la organización vulnerable y no funcionando

efectivamente

Determine donde esta en su ciclo de vida:• Equipo• Software

15

• ¿Qué tan frecuente deben llevarse acabo la actualización ?• ¿ Qué tan frecuente debe de dar mantenimiento?• ¿Cómo afecta la actualización o el mantenimiento a otros

departamentos dentro de la organización?• ¿Cómo puede minimizar estos efectos?• ¿Quién necesita estar prevenido de las actualizaciones o

reparaciones?• ¿Quién es el responsable de comunicar y entrenar a los

usuarios acerca de las actualizaciones y mantenimiento?• ¿Quién es el responsable de monitorear y ejecutar las

actualizaciones y mantenimientos?• ¿Qué penalidades deben de ser impuestas si las

actualizaciones o reparaciones no son ejecutadas en el horario previsto?

• ¿Tiene usted un sistema de prevención para asegurarse que estas actividades sean completadas de manera efectiva?

16