Conexión de Empresas Colaboradoras a la red de EDP en España Conexión de Empresas Colaboradoras a la red de EDP en España Histórico Versión Fecha Elaborado por 1 28/09/2015 Gonzaga de la Sota Aprobación Este documento está aprobado por: Nombre Área Fecha Clasificación del documento1 Pública 1 Reservada Confidencial Secreta Consultar capítulo 4.2 del documento DSI P á g i n a 2 | 13 Conexión de Empresas Colaboradoras a la red de EDP en España INDICE 1. ANTECEDENTES ................................................................................................................................ 4 2. NORMATIVA DE OBLIGADO CUMPLIMIENTO ................................................................................ 5 3. ACCESOS Y CAUDALES RECOMENDADOS PARA LA CONEXIÓN A LA RED DE EDP ................ 9 3.1. 3.2. 3.3. 4. CONEXIÓN VÍA INTERNET ................................................................................................................. 10 ACCESO A TRAVÉS DE LA RED MPLSC DEL OPERADOR....................................................................... 11 ACCESO A TRAVÉS DE LA FIBRA ÓPTICA DE TELECONTROL ................................................................. 11 OTROS............................................................................................................................................... 13 4.1. 4.2. ABREVIATURAS, ACRÓNIMOS Y DEFINICIONES ................................................................................... 13 CONFIDENCIALIDAD.......................................................................................................................... 13 DSI P á g i n a 3 | 13 Conexión de Empresas Colaboradoras a la red de EDP en España 1. ANTECEDENTES El Grupo EDP en España precisa, para el desarrollo de sus actividades, del concurso de colaboradores externos que mediante el acceso, por medios telemáticos, a los sistemas informáticos de EDP realizan sobre los mismos diferentes tareas. La norma que se describe en el presente documento es aplicable a colaboraciones en cualquier área de negocio. La ejecución de las tareas encomendadas requiere el concurso de elementos físicos (equipos, ordenadores personales, impresoras, red de área local, equipamiento de comunicaciones, etc.) y lógicos (sistemas operativos, aplicaciones cliente, editores, etc.) que están ubicados en el domicilio desde donde la contrata presta sus servicios. Asimismo, la entrada desde el exterior a los sistemas de producción de EDP requiere, tanto desde el punto de vista contractual como desde el punto de vista técnico, la observancia de diferentes normas que garanticen que las tareas se desarrollan con la seguridad y confidencialidad que las normativas vigentes en esta materia exigen y con la eficiencia requerida. Por esta razón, y al estar los sistemas informáticos de EDP accedidos desde diferentes puntos del exterior y con el fin de preservar en la medida de lo posible la seguridad de los sistemas y de la red de comunicaciones, es preciso cumplir con los siguientes puntos que configuran una norma técnica de acceso desde el exterior. DSI P á g i n a 4 | 13 Conexión de Empresas Colaboradoras a la red de EDP en España 2. NORMATIVA DE OBLIGADO CUMPLIMIENTO Con carácter general, estas normas están basadas en la idea de que la oficina que la contrata tiene abierta para la realización de los trabajos se contempla como una extensión de una oficina de EDP en España y está sujeta, dentro de unos límites, a los mismos condicionantes en cuanto a seguridad, soporte, etc., que cualquier otro punto de la red de EDP respecto a la ejecución de los trabajos encomendados. Desde la Dirección de Sistemas de Información (DSI) se estima que sin el concurso de un responsable del servicio de las contratas perteneciente a la Unidad de Negocio de EDP implicada, es imposible llevar a cabo esta tarea de forma eficaz y coordinada. Por lo tanto, esta figura es imprescindible. Para la realización del soporte necesario, DSI pondrá a disposición del servicio que se demanda los mismos equipos de soporte que colaboran con EDP ya que dado el conocimiento que tienen de los estándares que se utilizan y de la casuística, el nivel de servicio será el adecuado. La figura del responsable del servicio para las contratas (perteneciente a la Unidad de Negocio correspondiente de EDP España) tendrá como responsabilidad la ejecución de los pedidos de las tareas que sean preciso acometer por los equipos de soporte (una vez presentadas las ofertas por parte de DSI), el control de los cambios en las contratas en aquellos puntos que afecten a DSI (cambios de perfil, incremento de usuarios, incremento de volumen de trabajo, seguimiento de la actividad, reporte de problemas de las contratas, etc.) y servir de mediador en caso de conflicto entre las partes. Además de lo anterior, también recaerá dentro de la Unidad de Negocio responsable de las tareas asignadas a las contratas, toda la relación contractual con las mismas, el seguimiento de la observancia de la confidencialidad, cumplimiento de las normativas vigentes en materia de Protección de Datos, organización de los trabajos, etc. puntos todos ellos externos a la actividad de DSI. Con el fin de establecer un modelo de relación adecuado con las contratas se fijan las siguientes reglas que configuran este modelo: 1. La Dirección Técnica de DSI de EDP en España deberá ser informada previamente a la realización de los trabajos. La información a suministrar será: - Razón Social de la Contrata - Domicilio completo - Teléfono - Persona de contacto, con email y teléfono dentro de la contrata - Responsable, por parte de la Unidad de Negocio de EDP, de ese servicio - Tipo de tareas a desarrollar por la contrata - Número máximo de usuarios concurrentes - Tipo de impresión que va a realizar (Zloc o Stream) DSI P á g i n a 5 | 13 Conexión de Empresas Colaboradoras a la red de EDP en España - Volumen de los trabajos (número de impresiones mes estimada, etc.) Asimismo la Dirección Técnica de DSI estará puntualmente informada de cualquier cambio que suceda en la relación con la contrata (incremento de trabajos, finalización de los mismos, cambio del número de usuarios, traslados, etc.). Los mecanismos para notificar esta información son los existentes en EDP para la notificación de incidencias y siempre se realizarán a través de la persona responsable del servicio de las contratas por parte de la Unidad de Negocio de EDP. 2. En función de la información suministrada, la Dirección Técnica de DSI realizará el dimensionamiento adecuado del equipamiento necesario para llevar a cabo la función encomendada, del ancho de banda mínimo necesario para establecer la comunicación con sus sistemas y de la tecnología de comunicaciones más adecuada en cada caso. El dimensionamiento afectará no sólo al ancho de banda, sino también al tamaño y potencia de los equipos necesarios, al tamaño y requerimientos de las impresoras empleadas, al software y a su versión. Con las acciones a llevar a cabo se solicitarán unas ofertas para la aprobación y realización de los pedidos correspondientes por parte del responsable del servicio de las contratas y para el comienzo de la ejecución de los trabajos de instalación. 3. Será responsabilidad de la contrata o de la Unidad de Negocio la contratación de las líneas de comunicaciones necesarias según los requerimientos marcados por EDP DSI España y las tareas para la instalación de estas líneas en el domicilio de la contrata. 4. Será responsabilidad de la contrata instalar una red de área local, del tamaño adecuado al número de puestos, que forzosamente estará dedicada en exclusiva a la comunicación con los sistemas de EDP por el canal de comunicaciones que se establezca y sin ninguna otra comunicación con otras redes internas de la contrata o con otras vías de acceso al exterior. 5. La Dirección Técnica de DSI supervisará la instalación de la electrónica de red en el domicilio de la contrata para la conexión a la red de EDP, siendo responsabilidad de la contrata solicitar el servicio con un proveedor homologado por DSI. 6. Los puestos de trabajo (ordenadores personales, impresoras) serán aportados por la contrata y serán instalados por el personal de la misma. Los requisitos que deben cumplir los equipos de las contratas son: a. Software: Windows7 64 bits Internet Explorer 11 Antivirus correctamente actualizado b. Hardware: características mínimas (pueden ser superiores): Equipo compatible con el Sistema operativo indicado Procesador i5 4GB RAM 256GB de disco duro DSI P á g i n a 6 | 13 Conexión de Empresas Colaboradoras a la red de EDP en España Estos requisitos están sujetos a actualización periódica por parte de EDP DSI, por diferentes motivos, por lo que es imprescindible que se solicite la confirmación de que son los vigentes en el momento de iniciar un proceso de consulta. 7. Será responsabilidad de la contrata la adquisición de las licencias legales del software necesario (sistema operativo, Office, antivirus, etc.) que serán las utilizadas para la instalación en los equipos de la contrata. EDP suministrará las licencias cliente para acceder a sus sistemas (SAP) y los certificados correspondientes. 8. Excepcionalmente, siempre que sea posible y bajo petición expresa, EDP DSI facilitará el apoyo necesario para realizar configuraciones complementarias; estas actuaciones serán realizadas bajo responsabilidad de la contrata y previa aceptación del coste correspondiente. Las peticiones en cuestión deberán ser realizadas por el responsable del servicio para la contrata. Cada intervención conllevará un coste específico. 9. EDP DSI recomienda que las contratas conecten los equipos que van a utilizar para trabajar para EDP a una red específica para ello, sin interconexión con ninguna otra red. Si la contrata no sigue esta recomendación, EDP podrá adoptar las medidas que estime conveniente si por este motivo se llega a afectar al correcto funcionamiento de las aplicaciones corporativas. 10. EDP DSI recomienda que dichos equipos estén dedicados en exclusiva a estas tareas y que no se instalen en ellos otras aplicaciones informáticas que no sean necesarias para el desarrollo de los trabajos sin contar con el Visto Bueno de EDP. Si la contrata no sigue esta recomendación, EDP podrá adoptar las medidas que estime conveniente si por este motivo se llega a afectar al correcto funcionamiento de las aplicaciones corporativas. 11. EDP DSI recomienda que las contratas utilicen su propia salida a internet. Si la contrata no sigue esta recomendación, se aplicarán las reglas de filtrado y control establecidas desde EDP a nivel corporativo. 12. En ningún caso debe ser sustituido un equipo, ofimático o de electrónica de red, por otro similar, ni tampoco será modificada la topología de la red de área local, sin consulta previa con EDP y sin el concurso del equipo de soporte de esta última. 13. EDP no tendrá ninguna responsabilidad sobre otros equipos que estén fuera de la red dedicada a las tareas contratadas, ni en su mantenimiento, ni en su configuración o instalación de software sobre los mismos. Así EDP DSI no contrae ninguna responsabilidad sobre las tareas de formación para el uso de los diferentes sistemas a los que la contrata debe acceder para el desarrollo de sus tareas. La contrata debe permitir el acceso a los equipos de soporte de EDP cuando sea necesaria su presencia. 14. El acceso de los empleados de la empresa contratista a los sistemas informáticos del grupo EDP se realizará previo registro de los mismos. Para formalizar este registro, la contrata facilitará al responsable del servicio de la Unidad de Negocio de EDP la siguiente información, para cada usuario: - Nombre y apellidos - Nombre de la empresa DSI P á g i n a 7 | 13 Conexión de Empresas Colaboradoras a la red de EDP en España - Departamento o Area de EDP para la que presta el servicio PIN1: 4 primeros dígitos del DNI PIN2: 4 últimos dígitos de la Seguridad Social Cuenta de correo del dominio de la empresa contratista o personal Adicionalmente, para cada aplicación informática deberá solicitar el acceso correspondiente según el perfil que el responsable le asigne. EDP DSI facilitará a cada usuario un código de acceso y una contraseña. 15. La empresa contratista y cada uno de sus empleados observará el estricto cumplimiento de la “Política de Seguridad de la Información aplicable a proveedores con acceso a los sistemas informáticos de EDP en España” vigente en cada momento, que se le facilitará. 16. La empresa contratista será responsable de adoptar las medidas de seguridad y organizativas necesarias para cumplir y hacer cumplir a su personal las políticas y normas que en materia de seguridad de la información le sean de aplicación, además de las trasladadas por EDP. La empresa contratista debe aplicar la sistemática adecuada para asegurar que el personal afectado conoce y aplica dichas políticas de seguridad. Se observará de manera especial la seguridad de los equipos en lo concerniente a la existencia de virus u otro código maligno que pueda afectar a los mismos o a los sistemas de EDP. Es responsabilidad de la contrata proteger sus equipos con un antivirus homologado y permanentemente actualizado. 17. La contrata acordará con la Unidad de Negocio con la que mantiene la relación contractual el abono, si procede, de los diferentes activos puestos en juego o de aquellas intervenciones de soporte que fueran necesarias. Para esta contingencia y dada la aleatoriedad de las intervenciones desde DSI sugerimos habilitar contratos abiertos de servicios para evitar la realización de pedidos contra estas órdenes. 18. La notificación de cualquier tipo de incidencia relativa a los equipos o a las comunicaciones será puesta en conocimiento de EDP a través del responsable de la Unidad de Negocio correspondiente con la que se mantiene la relación contractual; en ningún caso el personal de la contrata contactará directamente con DSI. 19. Las tareas derivadas de la operación de los sistemas productivos, paradas, averías, etc. tendrán prioridad sobre el desarrollo de los trabajos de las contratas. Cualquier alteración de horarios o cortes de los sistemas debidos a estas tareas serán puestos en conocimiento del responsable de las contratas con la antelación suficiente, siempre que sea posible, para su notificación a las mismas. DSI P á g i n a 8 | 13 Conexión de Empresas Colaboradoras a la red de EDP en España 3. ACCESOS Y CAUDALES RECOMENDADOS PARA LA CONEXIÓN A LA RED DE EDP Dada la diversidad de métodos de acceso existentes para la interconexión entre redes de diferentes empresas, y teniendo en cuenta que estas normas están basadas en la idea de que la oficina que la contrata tiene abierta para la realización de los trabajos se contempla como una extensión de una oficina de EDP en España, sujeta a los mismos condicionantes en cuanto a seguridad, soporte, etc., que cualquier otro punto de la red de EDP, se recomiendan los accesos y velocidades de la tabla siguiente: CONTRATAS Nº de equipos Hasta 5 equipos Entre 5 y 10 equipos Entre 10 y 50 equipos Más de 50 equipos Vía Internet (*) 4 mbps. simétricos 8 mbps. simétricos No recomendado No recomendado OFICINAS EDP Red MPLS de BT (**) No recomendado 6 mbps. simétricos 10 mbps. simétricos 30 mbps. simétricos Fibra óptica de Telecontrol 2 mbps. (mínimo) 10 mbps. 10 mbps. 100 mbps. Accesos simétricos, profesionales (no domésticos), con dirección IP fija (*) y pública y router profesional capaz de establecer túneles IPSec. Conexión directa a la red MPLS corporativa que realizaría BT. (**) El router lo instalaría y configuraría BT Es importante resaltar que los tipos de acceso y caudales que aparecen en la tabla garantizan la conectividad y el funcionamiento correcto de las aplicaciones con las que la contrata tendrá que trabajar (no se contempla el GIS entre este tipo de aplicaciones). Aunque pueden existir otras combinaciones de tipos de acceso y ancho de banda que permitirían la conexión a la red de EDP, desde DSI no se garantiza el correcto funcionamiento de las aplicaciones con otras opciones diferentes a las mostradas en la tabla anterior. Aunque existen otras modalidades de acceso a internet, como los basados en conexiones ADSL o conexiones domésticas de operadores de cable, dichos accesos no se recomiendan por tener la particularidad de ser asimétricos, es decir que tienen diferente velocidad de bajada de internet que de subida hacia internet, lo que repercute negativamente en el tiempo de respuesta de algunas aplicaciones. Los accesos vía Internet simétricos utilizan tecnología SDSL o SHDSL y permiten la misma velocidad de subida que de bajada lo que garantiza un tiempo de respuesta adecuado para trabajar con las aplicaciones corporativas de EDP. En las modalidades marcadas como ‘No recomendado’, se asume que hay alguna otra modalidad que técnicamente es más factible de aplicar y en la que el coste económico asociado también es tenido en cuenta. Por ejemplo, no se recomienda instalar una conexión a la red MPLS del Operador (BT) en una oficina con menos de 5 equipos porque el coste seguramente será superior a un acceso vía internet de 4 mbps simétrico. De la misma manera, no se recomienda un acceso a través de internet en oficinas con más de 10 equipos pues las prestaciones no serían adecuadas. En esos casos es más aconsejable utilizar una conexión directa a la red MPLS del Operador que da servicio a la red de EDP. DSI P á g i n a 9 | 13 Conexión de Empresas Colaboradoras a la red de EDP en España En los gráficos siguientes se muestran los posibles escenarios de conexión desde una contrata a la red corporativa de EDP. 3.1. CONEXIÓN VÍA INTERNET Para este tipo de conexión la contrata debe tener un enlace a Internet con tecnología SDSL/SHDSL, un router con dirección IP fija y capaz de establecer túneles IPSec. Bajo estas condiciones, la conexión sería perfectamente válida para trabajar contra los equipos de EDP. La contrata establecería un túnel seguro contra la sede de EDP en Oviedo y, una vez ahí, ya se continuaría la conexión hacia los servidores de Oporto y/o Lisboa a través de la red MPLS del Operador BT. En la página siguiente se muestra el gráfico con otra opción para el diseño de la arquitectura de conexión. DSI P á g i n a 10 | 13 Conexión de Empresas Colaboradoras a la red de EDP en España 3.2. ACCESO A TRAVÉS DE LA RED MPLSC DEL OPERADOR Sería una conexión directa a la red MPLS del Operador. En este caso, el router a instalar en la contrata es suministrado por el Operador, que también suministra el enlace y lo configura de la manera adecuada para que los equipos de esa oficina puedan llegar a la red de Oporto y/o Lisboa sin pasar por Oviedo. Dicho enlace puede ser configurado, opcionalmente, con otro enlace de backup que aseguraría que en caso de caída del circuito principal, la conexión se mantuviera por el de backup. Los precios de este tipo de conexión suelen variar dependiendo de la tecnología que el Operador pueda desplegar en la zona y de la localización, más o menos céntrica, de la oficina de la contrata. 3.3. ACCESO A TRAVÉS DE LA FIBRA ÓPTICA DE TELECONTROL La última posibilidad de conexión contemplada sería a través de una conexión directa de fibra óptica suministrada por Telecontrol contra alguna de las sedes de EDP en Asturias. La arquitectura de conexión se muestra en el gráfico adjunto. DSI P á g i n a 11 | 13 Conexión de Empresas Colaboradoras a la red de EDP en España En este caso se utilizaría un switch con un puerto de fibra (que habría que adquirir) en las oficinas de la contrata. Desde ese switch se establecería un enlace a través de fibra óptica directa que el Departamento de Telecontrol de EDP le alquilaría a la contrata. Ese enlace entraría en alguna de las oficinas de EDP en Asturias que ya forman parte del backbone gigabit y que permitiría la salida hacia los servidores de EDP en Oporto/Lisboa. El coste de este enlace también dependería de la ubicación de la oficina de la contrata ya que este tipo de conexión no siempre es posible. DSI P á g i n a 12 | 13 Conexión de Empresas Colaboradoras a la red de EDP en España 4. 4.1. OTROS ABREVIATURAS, ACRÓNIMOS Y DEFINICIONES Abreviatura/Acrónimo 4.2. Descripción CONFIDENCIALIDAD Pública – Información que, en el caso de ser accedida por una entidad externa al Grupo EDP, no causa impacto para el Grupo. El hecho de que la información sea clasificada como pública no implica que su publicación esté permitida. Reservada – Información que no deberá ser divulgada a entidades externas al Grupo EDP. Su divulgación deberá ser limitada a los colaboradores que necesiten de esta información para el desempeño de sus funciones. Confidencial - Información que apenas deberá ser divulgada a colaboradores que necesiten de ella para el desempeño de sus funciones, debiéndose éstos encontrarse preferencialmente identificados (lista de accesos). Secreta - Información que, debido a su importancia, apenas podrá ser conocida por una audiencia muy restringida, identificada en la lista de accesos autorizados y debidamente controlada. DSI P á g i n a 13 | 13