DESARROLLO ESTRATÉGICO UNIDAD DE TECNOLOGÍAS DE INFOCOMUNICACIÓN ADE-UTIC-xx-12 23 de mayo de 2012 Lic. Rafael Soto Miranda Director Administrativo Estimado señor: Sirva la presente para saludarle cordialmente. Debido a la urgente necesidad de plantear una justificación adicional para la adquisición del data center por parte de la institución sustentada en las Normas en materia de TI emitida por la Contraloría General de la República, le detallo algunos aspectos relevantes para su estimable consideración. Sobre el primer punto efectivamente la construcción del data center contempla las recomendaciones planteadas en el documento "Normas Técnicas para la Gestión y el Control de las Tecnologías de Información", emitidas por la Contraloría General de la Republica en junio del 2007 y que se constituyen en un importante esfuerzo, por parte de la administración, para cumplimentarlas siguiendo lineamientos fundamentales en diferentes campos como son: seguridad de la información infraestructura tecnológica implementación de infraestructura tecnológica administración y operación de la plataforma tecnológica administración de los datos Nuestra propuesta se enfoca en la atención de estos cinco puntos como pilares importantes para una prestación de servicios al ciudadano garantizando alta disponibilidad, tiempos de respuesta adecuados, seguridad en las transacciones realizadas, una administración eficiente de los datos bajo nuestra custodia, una infraestructura tecnológica acorde con las demandas provenientes de nuestros usuarios internos y externos y del mismo ciudadano y una escalabilidad de la infraestructura de TI en la DGSC acorde con el entorno que la rodea. Contribuyendo a la gobernabilidad democrática de Costa Rica desde 1953 Correo electrónico: [email protected] Página electrónica: www.sercivil.go.cr Teléfonos: 2227-2133 Ext:221 Fax2227-2133 Ext:221 Apartado Postal 3371-1000 San José DESARROLLO ESTRATÉGICO UNIDAD DE TECNOLOGÍAS DE INFOCOMUNICACIÓN Esta propuesta toma y da respuesta a varios de los puntos expuestos en el apartado 1.4 (Gestión de la seguridad de la información) de la citada normativa, el punto 2.3 (Infraestructura tecnológica), el 3.3 (Implementación de la infraestructura tecnológica), los subpuntos a,b, c del punto 4.2 (Administración y operación de la plataforma tecnológica) y al 4.3 (Administración de los datos), todos ellos fundamentales para el buen quehacer de un centro de cómputo que ofrezca servicios de alta calidad y disponibilidad. La opción de construir el data center implica varios aspectos importantes que traerían un enorme beneficio a la institución, como son: 1. remodelación del espacio físico del centro de datos de la DGSC: se debe realizar esta labor EN FORMA TOTAL, para dejar funcionando el Centro de Datos al 100%. 2. acceso físico al centro de datos de la DGSC: se debe dejar habilitado el Centro de Datos con todos los dispositivos de seguridad necesarios, para ello es fundamental contar con un sistema de control y acceso al espacio físico del centro de datos. 3. remodelación de la instalación eléctrica actual: se debe realizar esta labor en FORMA TOTAL, realizando los ajustes necesarios para dejar el centro de datos funcionando en un 100%. 4. adquisición de una planta eléctrica de diesel: la adquisición de una planta eléctrica capaz de atender la demanda para toda la institución cada vez que tengamos cortes del fluido eléctrico, ya sea por horas o días. 5. una UPS tecnología True on-line doble conversión de 20 KVA: la adquisición de esta tecnología nos garantiza el enfriamiento necesario y oportuno para nuestros equipos de acuerdo a estándares internacionales. 6. componente de ambiente: sistema de aire acondicionado de precisión capaz de controlar temperatura y humedad relativa. 7. duplicidad de proveedor de internet: actualmente la institución cuenta con el servicio de internet principal provisto por una empresa estatal, sería importante contar con un segundo servicio de internet alterno por parte de otro proveedor, pensando en la posibilidad de caída del servicio principal, ya sea por vandalismo, situaciones naturales, accidentes u otros. Contribuyendo a la gobernabilidad democrática de Costa Rica desde 1953 Correo electrónico: [email protected] Página electrónica: www.sercivil.go.cr Teléfonos: 2227-2133 Ext:221 Fax2227-2133 Ext:221 Apartado Postal 3371-1000 San José DESARROLLO ESTRATÉGICO UNIDAD DE TECNOLOGÍAS DE INFOCOMUNICACIÓN 8. ampliación ancho de banda: la institución, pensando en nuevos y mejores servicios dirigidos al ciudadano y a sus socios estratégicos, debe contar con un ancho de banda que nos permita ofrecer una navegación adecuada, tanto a usuarios internos como externos, por lo que es importante considerar la posibilidad de aumentarlo a 50 megas. Otro aspecto relevante que se estaría considerando con esta opción es la debida atención a varios puntos de las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información, como son: Punto 1.4 Gestión de la Seguridad de la Información: La organización debe garantizar, de manera razonable, la confidencialidad, integridad y disponibilidad de la información, lo que implica protegerla contra uso, divulgación o modificación no autorizados, daño o pérdida u otros factores disfuncionales. Para ello debe documentar e implementar una política de seguridad de la información y los procedimientos correspondientes, asignar los recursos necesarios para lograr los niveles de seguridad requeridos y considerar lo que establece la presente normativa en relación con los siguientes aspectos: La implementación de un marco de seguridad de la información. El compromiso del personal con la seguridad de la información. La seguridad física y ambiental. La seguridad en las operaciones y comunicaciones. El control de acceso. La seguridad en la implementación y mantenimiento de software e infraestructura tecnológica. La continuidad de los servicios de TI. Además. debe establecer las medidas de seguridad relacionadas con el acceso a la información por parte de terceros y la contratación de servicios prestados por estos. Punto 1.4.3 Seguridad física y ambiental: La organización debe proteger los recursos de TI estableciendo un ambiente físico seguro y controlado, con medidas de protección suficientemente fundamentadas en políticas vigentes y análisis de riesgos. Como parte de esa protección debe considerar: a. b. c. d. e. Los controles de acceso a las instalaciones: seguridad perimetral, mecanismos de control de acceso a recintos o áreas de trabajo, protección de oficinas, separación adecuada de áreas. La ubicación física segura de los recursos de TI. El ingreso y salida de equipos de la organización. El debido control de los servicios de mantenimiento. Los controles para el desecho y reutilización de recursos de TI. Contribuyendo a la gobernabilidad democrática de Costa Rica desde 1953 Correo electrónico: [email protected] Página electrónica: www.sercivil.go.cr Teléfonos: 2227-2133 Ext:221 Fax2227-2133 Ext:221 Apartado Postal 3371-1000 San José DESARROLLO ESTRATÉGICO UNIDAD DE TECNOLOGÍAS DE INFOCOMUNICACIÓN f. g. h. La continuidad, seguridad y control del suministro de energía eléctrica, del cableado de datos y de las comunicaciones inalámbricas. El acceso de terceros. Los riesgos asociados con el ambiente. Punto 1.4.7 Continuidad de los servicios de TI: La organización debe mantener una continuidad razonable de sus procesos y su interrupción no debe afectar significativamente a sus usuarios. Como parte de ese esfuerzo debe documentar y poner en práctica, en forma efectiva y oportuna, las acciones preventivas y correctivas necesarias con base en los planes de mediano y largo plazo de la organización, la evaluación e impacto de los riesgos y la clasificación de sus recursos de TI según su criticidad. Punto 2.3 Infraestructura tecnológica: La organización debe tener una perspectiva clara de su dirección y condiciones en materia tecnológica, así como de la tendencia de las TI para que conforme a ello, optimice el uso de su infraestructura tecnológica, manteniendo el equilibrio que debe existir entre sus requerimientos y la dinámica y evolución de las TI. Contribuyendo a la gobernabilidad democrática de Costa Rica desde 1953 Correo electrónico: [email protected] Página electrónica: www.sercivil.go.cr Teléfonos: 2227-2133 Ext:221 Fax2227-2133 Ext:221 Apartado Postal 3371-1000 San José DESARROLLO ESTRATÉGICO UNIDAD DE TECNOLOGÍAS DE INFOCOMUNICACIÓN Punto 4.2 Administración y operación de la plataforma tecnológica: La organización debe mantener la plataforma tecnológica en óptimas condiciones y minimizar su riesgo de fallas. Para ello debe: a. b. c. d. e. f. Establecer y documentar los procedimientos y las responsabilidades asociados con la operación de la plataforma. vigilar de manera constante la disponibilidad, capacidad, desempeño y uso de la plataforma, asegurar su correcta operación y mantener un registro de sus eventuales fallas. Identificar eventuales requerimientos presentes y futuros, establecer planes para su satisfacción y garantizar la oportuna adquisición de recursos de TI requeridos, tomando en cuenta la obsolescencia de la plataforma, contingencias, cargas de trabajo y tendencias tecnológicas. Controlar la composición y cambios de la plataforma y mantener un registro actualizado de sus componentes (hardware y software), custodiar adecuadamente las licencias de software y realizar verificaciones físicas periódicas. Controlar la ejecución de los trabajos mediante su programación, supervisión y registro. Mantener separados y controlados los ambientes de desarrollo y producción. Sin más por el momento me despido. Atentamente, Máster Arnoldo Zambrano Madrigal COORDINADOR C. Máster Oscar Sánchez Chaves, Director Área Desarrollo Estratégico Consecutivo Contribuyendo a la gobernabilidad democrática de Costa Rica desde 1953 Correo electrónico: [email protected] Página electrónica: www.sercivil.go.cr Teléfonos: 2227-2133 Ext:221 Fax2227-2133 Ext:221 Apartado Postal 3371-1000 San José