ADE-UTIC-xx-12 356KB May 23 2012 03:26:25 PM

Anuncio
DESARROLLO ESTRATÉGICO
UNIDAD DE TECNOLOGÍAS DE INFOCOMUNICACIÓN
ADE-UTIC-xx-12
23 de mayo de 2012
Lic.
Rafael Soto Miranda
Director Administrativo
Estimado señor:
Sirva la presente para saludarle cordialmente. Debido a la urgente necesidad de plantear una
justificación adicional para la adquisición del data center por parte de la institución sustentada en las
Normas en materia de TI emitida por la Contraloría General de la República, le detallo
algunos aspectos relevantes para su estimable consideración.
Sobre el primer punto efectivamente la construcción del data center contempla las recomendaciones
planteadas en el documento "Normas Técnicas para la Gestión y el Control de las Tecnologías de
Información", emitidas por la Contraloría General de la Republica en junio del 2007 y que se
constituyen en un importante esfuerzo, por parte de la administración, para cumplimentarlas
siguiendo lineamientos fundamentales en diferentes campos como son:





seguridad de la información
infraestructura tecnológica
implementación de infraestructura tecnológica
administración y operación de la plataforma tecnológica
administración de los datos
Nuestra propuesta se enfoca en la atención de estos cinco puntos como pilares importantes para una
prestación de servicios al ciudadano garantizando alta disponibilidad, tiempos de respuesta
adecuados, seguridad en las transacciones realizadas, una administración eficiente de los datos bajo
nuestra custodia, una infraestructura tecnológica acorde con las demandas provenientes de nuestros
usuarios internos y externos y del mismo ciudadano y una escalabilidad de la infraestructura de TI en
la DGSC acorde con el entorno que la rodea.
Contribuyendo a la gobernabilidad democrática de Costa Rica desde 1953
Correo electrónico: azambrano@sercivil.go.cr
Página electrónica: www.sercivil.go.cr
Teléfonos: 2227-2133 Ext:221 Fax2227-2133 Ext:221 Apartado Postal 3371-1000 San José
DESARROLLO ESTRATÉGICO
UNIDAD DE TECNOLOGÍAS DE INFOCOMUNICACIÓN
Esta propuesta toma y da respuesta a varios de los puntos expuestos en el apartado 1.4 (Gestión de la
seguridad de la información) de la citada normativa, el punto 2.3 (Infraestructura tecnológica), el 3.3
(Implementación de la infraestructura tecnológica), los subpuntos a,b, c del punto 4.2
(Administración y operación de la plataforma tecnológica) y al 4.3 (Administración de los datos),
todos ellos fundamentales para el buen quehacer de un centro de cómputo que ofrezca servicios de
alta calidad y disponibilidad.
La opción de construir el data center implica varios aspectos importantes que traerían un enorme
beneficio a la institución, como son:
1.
remodelación del espacio físico del centro de datos de la DGSC: se debe realizar esta
labor EN FORMA TOTAL, para dejar funcionando el Centro de Datos al 100%.
2.
acceso físico al centro de datos de la DGSC: se debe dejar habilitado el Centro de
Datos con todos los dispositivos de seguridad necesarios, para ello es fundamental contar
con un sistema de control y acceso al espacio físico del centro de datos.
3.
remodelación de la instalación eléctrica actual: se debe realizar esta labor en
FORMA TOTAL, realizando los ajustes necesarios para dejar el centro de datos funcionando
en un 100%.
4.
adquisición de una planta eléctrica de diesel: la adquisición de una planta eléctrica
capaz de atender la demanda para toda la institución cada vez que tengamos cortes del fluido
eléctrico, ya sea por horas o días.
5.
una UPS tecnología True on-line doble conversión de 20 KVA: la adquisición de
esta tecnología nos garantiza el enfriamiento necesario y oportuno para nuestros equipos de
acuerdo a estándares internacionales.
6.
componente de ambiente: sistema de aire acondicionado de precisión capaz de
controlar temperatura y humedad relativa.
7.
duplicidad de proveedor de internet: actualmente la institución cuenta con el servicio
de internet principal provisto por una empresa estatal, sería importante contar con un
segundo servicio de internet alterno por parte de otro proveedor, pensando en la posibilidad
de caída del servicio principal, ya sea por vandalismo, situaciones naturales, accidentes u
otros.
Contribuyendo a la gobernabilidad democrática de Costa Rica desde 1953
Correo electrónico: azambrano@sercivil.go.cr
Página electrónica: www.sercivil.go.cr
Teléfonos: 2227-2133 Ext:221 Fax2227-2133 Ext:221 Apartado Postal 3371-1000 San José
DESARROLLO ESTRATÉGICO
UNIDAD DE TECNOLOGÍAS DE INFOCOMUNICACIÓN
8.
ampliación ancho de banda: la institución, pensando en nuevos y mejores servicios
dirigidos al ciudadano y a sus socios estratégicos, debe contar con un ancho de banda que
nos permita ofrecer una navegación adecuada, tanto a usuarios internos como externos, por
lo que es importante considerar la posibilidad de aumentarlo a 50 megas.
Otro aspecto relevante que se estaría considerando con esta opción es la debida atención a varios
puntos de las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información,
como son:
Punto 1.4 Gestión de la Seguridad de la Información: La organización debe garantizar, de manera
razonable, la confidencialidad, integridad y disponibilidad de la información, lo que implica
protegerla contra uso, divulgación o modificación no autorizados, daño o pérdida u otros factores
disfuncionales. Para ello debe documentar e implementar una política de seguridad de la información
y los procedimientos correspondientes, asignar los recursos necesarios para lograr los niveles de
seguridad requeridos y considerar lo que establece la presente normativa en relación con los
siguientes aspectos:








La implementación de un marco de seguridad de la información.
El compromiso del personal con la seguridad de la información.
La seguridad física y ambiental.
La seguridad en las operaciones y comunicaciones.
El control de acceso.
La seguridad en la implementación y mantenimiento de software e infraestructura
tecnológica.
La continuidad de los servicios de TI.
Además. debe establecer las medidas de seguridad relacionadas con el acceso a la
información por parte de terceros y la contratación de servicios prestados por estos.
Punto 1.4.3 Seguridad física y ambiental: La organización debe proteger los recursos de TI
estableciendo un ambiente físico seguro y controlado, con medidas de protección suficientemente
fundamentadas en políticas vigentes y análisis de riesgos. Como parte de esa protección debe
considerar:
a.
b.
c.
d.
e.
Los controles de acceso a las instalaciones: seguridad perimetral, mecanismos de control de
acceso a recintos o áreas de trabajo, protección de oficinas, separación adecuada de áreas.
La ubicación física segura de los recursos de TI.
El ingreso y salida de equipos de la organización.
El debido control de los servicios de mantenimiento.
Los controles para el desecho y reutilización de recursos de TI.
Contribuyendo a la gobernabilidad democrática de Costa Rica desde 1953
Correo electrónico: azambrano@sercivil.go.cr
Página electrónica: www.sercivil.go.cr
Teléfonos: 2227-2133 Ext:221 Fax2227-2133 Ext:221 Apartado Postal 3371-1000 San José
DESARROLLO ESTRATÉGICO
UNIDAD DE TECNOLOGÍAS DE INFOCOMUNICACIÓN
f.
g.
h.
La continuidad, seguridad y control del suministro de energía eléctrica, del cableado de datos
y de las comunicaciones inalámbricas.
El acceso de terceros.
Los riesgos asociados con el ambiente.
Punto 1.4.7 Continuidad de los servicios de TI: La organización debe mantener una continuidad
razonable de sus procesos y su interrupción no debe afectar significativamente a sus usuarios. Como
parte de ese esfuerzo debe documentar y poner en práctica, en forma efectiva y oportuna, las
acciones preventivas y correctivas necesarias con base en los planes de mediano y largo plazo de la
organización, la evaluación e impacto de los riesgos y la clasificación de sus recursos de TI según su
criticidad.
Punto 2.3 Infraestructura tecnológica: La organización debe tener una perspectiva clara de su
dirección y condiciones en materia tecnológica, así como de la tendencia de las TI para que
conforme a ello, optimice el uso de su infraestructura tecnológica, manteniendo el equilibrio que
debe existir entre sus requerimientos y la dinámica y evolución de las TI.
Contribuyendo a la gobernabilidad democrática de Costa Rica desde 1953
Correo electrónico: azambrano@sercivil.go.cr
Página electrónica: www.sercivil.go.cr
Teléfonos: 2227-2133 Ext:221 Fax2227-2133 Ext:221 Apartado Postal 3371-1000 San José
DESARROLLO ESTRATÉGICO
UNIDAD DE TECNOLOGÍAS DE INFOCOMUNICACIÓN
Punto 4.2 Administración y operación de la plataforma tecnológica: La organización debe
mantener la plataforma tecnológica en óptimas condiciones y minimizar su riesgo de fallas. Para ello
debe:
a.
b.
c.
d.
e.
f.
Establecer y documentar los procedimientos y las responsabilidades asociados con la
operación de la plataforma.
vigilar de manera constante la disponibilidad, capacidad, desempeño y uso de la plataforma,
asegurar su correcta operación y mantener un registro de sus eventuales fallas.
Identificar eventuales requerimientos presentes y futuros, establecer planes para su
satisfacción y garantizar la oportuna adquisición de recursos de TI requeridos, tomando en
cuenta la obsolescencia de la plataforma, contingencias, cargas de trabajo y tendencias
tecnológicas.
Controlar la composición y cambios de la plataforma y mantener un registro actualizado de
sus componentes (hardware y software), custodiar adecuadamente las licencias de software y
realizar verificaciones físicas periódicas.
Controlar la ejecución de los trabajos mediante su programación, supervisión y registro.
Mantener separados y controlados los ambientes de desarrollo y producción.
Sin más por el momento me despido.
Atentamente,
Máster Arnoldo Zambrano Madrigal
COORDINADOR
C.
Máster Oscar Sánchez Chaves, Director Área Desarrollo Estratégico
Consecutivo
Contribuyendo a la gobernabilidad democrática de Costa Rica desde 1953
Correo electrónico: azambrano@sercivil.go.cr
Página electrónica: www.sercivil.go.cr
Teléfonos: 2227-2133 Ext:221 Fax2227-2133 Ext:221 Apartado Postal 3371-1000 San José
Descargar