IMPLEMENTACION DE RED

MINISTERIO DE EDUCACION

EDGAR MANUEL SI CUC

CONTENIDO:
INTRODUCCION …………………………………………………………………………………………………………………

MISION Y VISION……………………………………………………………………………………………………………….

ANTECEDENTES …………………………………………………………………………………………………………………

PLANTEAMIENTO DEL PROBLEMA ……………………………………………………………………………………..

IDENTIFICACION DEL PROBLEMA ………………………………………………………………………………………

JUSTIFICACION DEL PROBLEMA………………………………………………………………………………………….

OBJETIVOS…………………………………………………………………………………………………………………………

CABLEADO ESTRUCTURADO, PRESUPUESTO Y MATERIAL A UTILIZAR ……………………………….

SUBNETING……………………………………………………………………………………………………………………….

DISPOSITIVOS DE COMUNICACIONES………………………………………………………………………………..

SERVICIOS QUE SE TEDRAN……………………………………………………………………………………………….

SEGURIDAD FISICA Y LOGICA……………………………………………………………………………………………..

SISTEMAS OPERATIVOS A UTILIZAR……………………………………………………………………………………

CONCLUSION……………………………………………………………………………………………………………………..
INTRODUCCION:

El ministerio de educación de Guatemala, es una institución gubernamental, independiente, no

lucrativa, que funciona de acuerdo con las leyes propias de su naturaleza institucional.
Dedicada en velar por los intereses de la niñez y del grado de educación elemental, de acuerdo
a las necesidades y demandas de la sociedad guatemalteca.

Cuenta con diferentes sedes en todo el territorio nacional, actualmente se esta restructurando
el sistema de red de computadoras y de cableado estructurado, ya que ellos cuentan con un
sistema el cual fue implementado hace muchos años y se esta volviendo obsoleto.

Cabe recordad que la tecnología es cambiante y que todos debemos de adaptarnos a ella y si
no lo hiciéramos de esta manera observaríamos como el funcionamiento interno y los
procesos que se realizan entre terminales de computo no es el adecuado para la labor que se
lleva a cabo en dicha institución.

MISION

Somos una institución evolutiva, organizada, eficiente y eficaz, generadora de oportunidades

de enseñanza-aprendizaje, orientada a resultados, que aprovecha diligentemente las
oportunidades que el siglo XXI le brinda y comprometida con una Guatemala mejor.

VISION

Formar ciudadanos con carácter, capaces de aprender por sí mismos, orgullosos de ser
guatemaltecos, empeñados en conseguir su desarrollo integral, con principios, valores y
convicciones que fundamentan su conducta.

ANTECEDENTES

El ministerio de educación es una organización gubernamental de la república de Guatemala,

cuenta con diferentes sedes distribuidas a lo largo de todo el país, por ende, es una necesidad
tener todos los servicios en línea para el fácil acceso a la información y un mejor manejo de la
misma, una mejor respuesta de los sistemas con los que se cuentan y una mejor eficacia de los
servicios.

PLANTEAMIENTO DEL PROBLEMA

El ministerio de educación sede central, ubicado en la zona 10 de Guatemala, cuenta con 15

áreas administrativas en la cual laboran 2200 empleados. Existen 24 direcciones
departamentales de educación, de las cuales 3 de ellas se encuentran ubicadas en la ciudad
capital y las restantes en cada departamento de la república, laborando en ellas un total de
2000 empleados. Existe además una unidad de recursos humanos ubicada en la zona 1 en la
que se estima laboran 300 empleados.

Por el crecimiento del ministerio, se han identificado problemas de lentitud de la red cuando
los empleados acceden a los servicios, llegando a tal punto en que algunos días los empleados
no han podido desarrollar sus actividades en días completos. Todos los servidores se
encuentran ubicados en la sede central zona 10, lo cual significa que todas las maquinas
(windows7) de la red acceden desde sus ubicaciones a los servidores (Windows servers 2012)
en la sede central que cuentan con active directory (Windows server 2003), correo electrónico
(Exchange 2003) aplicaciones de la intranet (ERP, Recursos Humanos, aplicaciones de
estadísticas escolares, programas de becas, etc.), base de datos (1 base de datos por cada
aplicación, toda la información se almacena en la SAN), antivirus, actualizaciones del sistema
operativo.

La comunicación entre la sede central, sedes departamentales y edificio de recursos humanos

se realizan a través de enlaces dedicados (interconectando routers y por lo consiguiente redes)
contratados con el ISP claro, a una velocidad de 10 Mbps para enlace. El ISP también provee a
la sede central un enlace de internet de 30 Mbps, sin embargo, cuando esta falla, los
servidores publicados a internet no son accesibles.

IDENTIFICACION DEL PROBLEMA

Actualmente el ministerio de educación en su sede central cuenta con un sistema de red y un

servidor central al cual todos los demás centros deben conectarse y enviar su información, al
realizarse esta acción el sistema tiende a ser muy lento, por ejemplo podríamos mencionar
que al mes 1 millón de paquetes de datos de subida por hora, tomando en cuenta que el
enlace dedicado es asimétrico que queremos decir con esto, que la velocidad de bajada como
de subida no es la misma y por eso tiende a ser muy lenta la conexión pasando hasta días sin
que se pueda operar en el sistema, como se solucionaría, volviendo la conexión simétrica
garantizando la misma velocidad de subida como de bajada, además de implementar un
balanceo de cargas, y descentralización de los servidores haciendo una distribución de 6
distintos servidores por distritito y que cierta cantidad de departamentos de educación se
conecten a dichos servidores, de esta manera evitaríamos saturaciones en el sistema, además
se podría mencionar que los puntos de acceso están siendo utilizados para realizar labores
ajenas para las cuales fueron diseñados, a que me refiero con esto, desde el uso de redes
sociales, descarga de archivos, utilización de programas de videos, además si se cuenta con
acceso wifi y este servicio lo brinda la misma compañía que presta la conexión a internet
tiende a saturarse por las diferentes personas que se conectan a la red y ocupan el ancho de
banda, esto lo solucionaríamos estableciendo un servicio específico de señal wifi para los
visitantes.

JUSTIFICACIÓN DEL PROYECTO

El objetivo del proyecto es diseñar una red de telecomunicaciones de banda ancha que
interconecte los ordenadores ubicados en las diferentes sedes, proporcionando a un grupo de
departamentos de educación un servidor dedicado y estos a su vez se conecte al servidor
central, estableciendo una distribución de cargas. Otra medida adicional para la protección de
los datos seria utilizar espacios en la nube para almacenar backups, a que me refiero con esto,
es de mi conocimiento que las empresas dedicadas a brindar el servicio de telefonía e internet
después de contratar una cantidad de megas para cada centro brindan un servicio gratuito en
la nube, esto sería de mucha utilidad ya que nos permitiría tener un soporte especializado y la
seguridad de que los datos que están siendo guardados en los servicios cloud se encuentren
íntegros, esto nos permitiría evitar la pérdida de información a la hora de una caída de
sistema.

OBJETIVO

El objetivo de cableado estructurado es el diseño e implementación de las infraestructuras de

área local(LAN) que permitan la interconexión de puestos de trabajo y periféricos entre los
usuarios a los que presta servicio de comunicación de datos de internet.

Esta estructura debe ser fácil de gestionar, preparada para las aplicaciones de comunicaciones
presentes y futuras, e instaladas según estándares y normativas que permitan asegurar la
calidad y compatibilidad de las comunicaciones. En consecuencia, se plantea la necesidad de
establecer una serie de normativas con el objetivo de homogenizar las infraestructuras de
telecomunicaciones de todas las sedes del ministerio de educación, desde el punto de vista del
suministro, instalación y conservación del cableado y de las canalizaciones destinadas a las
comunicaciones.

La finalidad de implementar la red de datos es conseguir:

1. La integración del medio de transmisión para los servicios informáticos instalados.

2. Independencia de cableado respecto de la tecnología, naturaleza y topologías a
emplear.
3. Gran capacidad de conectividad.
4. Facilidad de gestión.

SISTEMA DE CABLEADO ESTRUCTURADO

La arquitectura y topología de la Red de Datos Genérica sigue el esquema jerárquico en árbol

que describe la norma UNE EN 50173 y se configura en tres subredes:

Subsistema de sede central del ministerio de educación ubicado en las oficinas de zona 10 (SC)
(troncal o backbone de edificios), que permite la interconexión de edificios.

Subsistema Vertical (SV) (troncal o backbone del edificio), que permite la unión de las
diferentes plantas del edificio.

Subsistema Horizontal (SH), que permite conectar el distribuidor de planta con la terminal de
usuario.
DESCRIPCION DE LOS ELEMENTOS FUNCIONALES

Los elementos funcionales de una infraestructura genérica de cableado estructurado son los
siguientes:

 Distribuidor de sede central (DSC): es el elemento en el que se conectan las redes de

todos los edificios del ministerio o mejor llamadas todas las dependencias
departamentales a nivel nacional, así como las conexiones corporativas de
comunicación y las conexiones con las redes de operadores públicos de
telecomunicaciones.
 Cableado troncal de sede central: es el conjunto de cables que se utiliza para realizar
las conexiones entre el distribuidor de sede central y todas as dependencias
departamentales.
 Distribuidor de edificio (DE): es el elemento que sirve para interconectar las
comunicaciones de la sede central con las otras dependencias.
 Cableado vertical troncal de edificio: es el conjunto de cables que se utiliza para
realizar la interconexión entre el distribuidor del edificio y los distribuidores de planta
existentes en el edificio.
 Distribuidor de planta (DP): es el elemento que sirve para interconectar los usuarios
con los equipos de acceso a la red de comunicaciones y con el backbone vertical del
edificio.
 Cableado horizontal: es el conjunto de cables que se utiliza para interconectar el
Distribuidor de planta con las tomas de usuario, para proporcionarles el acceso a los
servicios de telecomunicaciones.
 Puto de consolidación (CP): se utiliza para adaptar distintos tipos de cable horizontal.
 Toma de usuario (TU): es el dispositivo fijo de conexión que sirve para conectar el
equipo de usuario a la red de comunicaciones de datos.

Infraestructura de la instalación diseñada

La red a diseñar:

 Debe de dar respuesta a los servicios demandados por el ministerio de educación,

que tienen una necesidad creciente de caudal de comunicaciones.
 Es una red de acceso, conmutación y transporte IP lo que facilite el proceso de
convergencia progresiva utilizando la misma infraestructura de conmutación y
transporte de red IP para los servicios de datos e internet.
 Debe proporcionar solución a las carencias de los servicios de conexión a internet
de banda ancha producidas debido a la capitalización de las redes de los
operadores existentes en la actualidad no han seguido el ritmo de requerimientos
de conexión que los usuarios demandan.

El diseño de red se ha realizado en función de:

 Los servicios de telecomunicaciones a prestar a través de la red.

 La necesidad de interconexión con otras redes que son proveedoras de
servicios de conexión a internet.
Descripción jerárquica de la red de datos:

Las oficinas centrales del ministerio de educación, se tiene proyectado una red de
interconexión por switch principal (SP) para la capa de núcleo, del que se distribuye la señal
por la red vertical a los switch secundarios (SD) de la capa de distribución, dos por planta y
desde allí dando servicio a las subredes horizontales.

La red horizontal de cada planta distribuye la señal desde los repartidores secundarios hasta
las terminales (TT) de los usuarios, pasado por los repartidores de departamento.

Por tanto, adaptando el sistema de infraestructura de cableado estructurado y el diseño

jerárquico de la red, tenemos el siguiente esquema
Equipo y dispositivos

Análisis de tecnologías

En el presente análisis, se tomarán en cuenta las herramientas tecnológicas que se requieren

utilizar para el centro de Datos (Datacenter) y en la sede central del ministerio de educación.

 Rack para patch panel y switch

 Patch panel
 Switch
 Utm
 Ups
 Cableado estructurado
o Cable UTP cat.6
o Conectores RJ45
o Canaletas
o Caja y placa de registro

Según las tecnologías y equipos para el Data Center se deberían establecer un rack para
almacenar servidores, dichos servidores y un almacenamiento en red (NAS), para unificar
utilizaríamos virtualización para unificar los servidores a la red de almacenamiento. VMWARE
esxi 5 se utilizaría para implementar dicha virtualización.

Servidores

NAS

Tecnología de almacenamiento dedicada a compartir la capacidad de almacenamiento de un

computador (servidor) con computadoras personales o servidores clientes a través de una red
(normalmente TCP/IP), haciendo uso de un sistema operativo optimizado para dar acceso con
los protocolos CIFS, NFS, FTP O TFTP.

Rack para servidores.

 Rack para paneles de conexiones y conmutadores.

 Rack para almacenar los paneles de conexión y conmutadores.
Patch panel o panel de control

Este será el encargado de centralizar todo nuestro cableado estructurado, este dispositivo
estaría conectado al switch posteriormente, enviando todas las solicitudes provenientes de los
equipos y dispositivos de la red

Switch o conmutador

Conmutador encargado de conectar los dispositivos y equipos de la red. Encargado de

interconectar diversos dispositivos de red, utilizando tecnología para evaluar las direcciones de
destino y con ello encaminar los datos exclusivamente al dispositivo que lo debe de recibir.

Para las capas de núcleo y distribución se emplearán switchs de capa 3, capaces de soportar
VLAN (virtual LAN) y ACL (listas de acceso), con el fin de crear redes lógicamente
independientes dentro de la misma red.

Cada departamento tendrá configurada su propia red, independiente, restringiendo su uso al

resto de usuarios.

Dicho diseño debe permitir el acceso a los servidores por parte de todos los usuarios.

Router cisco 1841

El router de servicios integrados cisco 1841 ha sido diseñado para conexiones de datos seguras
y proporciona un valor añadido significativamente mayor, ya que ofrece un incremento de
rendimiento 5 veces superior, encriptación basada en hardware integrada habilitada a través
de una imagen de CISCO IOS opcional, además de incrementar el rendimiento de las ranuras
de expansión y su densidad manteniendo compatibilidad con mas de 30 modelos de WICS de
la serie cisco 1700.

Incluye una tarjeta de interface WAN serial de 2 puertos.

CONECTIVIDAD

o Puertos de entrada y salida (E/S): USBn-console port n-2 x 10/100BaseT RJ-45 n- ADSL
– 2 serial WAN

DETALLES TECNICOS

o Source data-sheet: ICEcat.biz

o ETHERNET LAN FEATURES
o Full dúplex: si
o Tecnología de cableado: RJ-45, cat 3

PROTOCOLOS

o Protocolo de conmutación: Apple Talk, ATM, Frame Relay, IP, IPX, RSVP
o Protocolo de routing: BGP, EIGRP, OSPF, RIPV1, RIPV2
o Protocolo señal digital: ADSL2
o Protocolo de transmisión de datos: Ethernet, Fast Ethernet
o Protocolos de red admitidos: IPSec

RED

o Tecnología de conectividad: con cables

REQUISITOS DEL SISTEMA

o Memoria y procesador: DRAM

SEGURIDAD

o Soporte VPN: DES, 3DES

TRANSMISION DE DATOS

o Tasa de transferencia (max): 0.1 Gbit/s

o Velocidad de transferencia de datos: 100 Mbit/s

ILUMINACION/ALARMAS

o Indicadores LED: si

MEMORIA

o Memoria Flash: 32 mb
o Memoria interna: 128 mb

APROBACIONES REGULADORAS

o Estándar de red: IEEE 802.3, IEEE 802.3U

o Seguridad: UL 60950, CAN/CSA C22.2 No. 60950, IEC 60950-1, EN 60950-1,
 o AS/NZS 60950

CONDICIONES AMBIENTALES

o Alcance de temperatura operativa: 0 - 40 °C

o Humedad (en almacenaje): 5 – 95 %
o Humedad relativa: 10 – 85 %
o Temperatura: -25 – 65 °C

CONTROL DE ENERGIA

o Consumo de energía: 50 W
o Requisitos de energía: 100 – 240 VAC, 50 – 60 Hz

PESO Y DIMENSIONES

o Dimensiones (ancho x profundidad x altura): 343 x 475 x 274 mm

o Factor de forma: Desktop
o Montaje en bastidor: 1U
o Peso: 2700 g

ACCESORIOS

o Cada unidad dispone de un juego de manuales de configuración de hardware y

software.
o Incluyen los accesorios necesarios para montar en racks estand de 19”.

PUNTO DE ACCESO WIFI CISCO WAP4410N

o Punto de acceso inalámbrico cisco WAP4410 IEEE 802.11n

o IEEE 802.11 b/g – 300 Mbps
o IEEE 802.11n (draft)
o Banda ISM: si
o Frecuencia máxima IGS: 2,40 GHz
o Numero de antenas: 2
o Ganancia de antena: 2 dBi
o Tipo de antena: Antena omnidireccional
o Velocidad de transmisión inalámbrica: 300 Mbps
o Puerto Gigabit Ethernet: Si
o Puertos Numero de Red (RJ-45):1
o Alimentación sobre Ethernet: si
 o Voltaje de entrada: 12 V
o DC Fuente de Corriente: adaptador AC
o Altura: 170 mm
o Profundidad: 40,64 mm
o Peso(aproximado):390
o Garantía estándar: 3 años

UTM (ADMINISTRADOR DE AMENAZAS UNIFICADAS)

Este dispositivo será el encargado de nuestra seguridad, ya que integra las funciones de router,
cortafuegos, Switch, antivirus, proxy, VPN.

UPS

Reguladores de voltaje para los servidores, equipos de red, en casos de perdida de energía
eléctrica o altas y bajas de voltaje.
Teléfono IP

Cisco SPA921 1-line IP Phone with 1-port Ethernet

El SPA921 es un teléfono IP de altas prestaciones. Su pantalla LCD con una resolución de 128 x
64 pixeles monocromo, su excelente calidad de audio y la multitud de servicios de valor
añadido como el servicio de manos libres hacen de él, uno de los teléfonos más demandados
del mercado

El teléfono dispone de un diseño muy cuidado está orientado a implementaciones y pymes y

grandes empresas.

El teléfono dispone de 1 única línea de voz.

Características:

o Control de volumen
o Indicador de línea
o Llamada en espera
o Transferencia de llamada
o Servidor web para administración y configuración
o Registro de llamadas a través de servidor HTTP
o Soporta DNS SRV y A
o NAT transversal
o Pantalla LCD de alta resolución 128 x 64 monocromo
o 1 puerto Ethernet 10/100 Mbps
o Codecs soportados:
o G.711 (A-law mu-law)
o G.726
o G.729
o G.723.1
Cableado estructurado

Se hará uso del cable UTP categoría 6, ya que permite la transferencia de 1 giga bit por
segundo, conectores RJ45 para los cables UTP, asi mismo canaletas, caja y placas de registro
para las conexiones para los dispositivos y equipos de Red, Estableciendo asi el cableado
horizontal y vertical.

La categoría 6 posee características y especificaciones para evitar la diafonía y el ruido. El

estándar de cable se utiliza para 10BASE-T, 100BASE-TX Y 1000BASE-TX. Alcanza frecuencias de
hasta 250 MHz en cada velocidad de 1 Gbps.

Características

o Calibre del conductor: 23 AWG

o Tipo de aislamiento: polietileno sin halógenos.
o Tipo de ensamble: 4 pares con cruceta central.
o Tipo de cubierta: LSZH con propiedades de baja emisión de humos sin halógenos
o Separador de polietileno para asegurar alto desempeño contra diafonía
o Para conexiones y aplicaciones IP
o Conductor de cobre solido de 0.57 mm
o Diámetro probado hasta 300 MHz
o Impedancia: 100 Q

Especificaciones técnicas

o Características de equilibrio documentadas (LCL/TCL, RL, TCTL)

o Funcionamiento dúplex a través de 4 pares
o Tensión máxima de instalación (N):90
o Rango de Temperatura(°C): instalación (0°C a 50°C), operación (20°C a 60°C)
o Peso aproximado (kg/km): 44
Conectores RJ45

El conector RJ45 es uno de los conectores principales utilizados con tarjetas de red Ethernet,
que transmite información a través de cables de par trenzado.

Características

o Desempeño superior a 250 MHZ

o Guía de hilos en policarbonato, llegada de los cables por arriba y por abajo.
o Conexión sin herramienta (autoponchable o autoinsertable)
o Etiqueta de identificación de contactos y código de color T 568 A y B.
o Para montaje sobre placas de pared, cajas superficiales y paneles de parcheo
modulares de 24 a 48 puertos tipo Keystone.
o Cubre polvos abatibles.
o Categoría marcada en el cubre polvo (quintado C6).

Especificaciones técnicas

o Resistencia por aislamiento > 10 M Ohmios.

o Protección de filamentos 50 micrón oro platinado.
o Contactos de horquilla sistema IDC, por desplazamiento de aislante de 35 para una
mayor fuerza de sujeción, soporta cables cal. 22, 23, 24 y 26 AWG.
o Frecuencia (MHZ)100 250.
o Atenuación (perdida por inserción) <0.1 DB <0.2 DB.
o NEXT 58 db 47.5 db.
o Perdida de retorno 24 db 16 db

Estándares y normas de referencia

o ISO/IEC 11801
o EIA/TIA 568 B.2 1
o EN 50173 UL
o NMX-I-NYCE-248-2005

Canaletas

Facilita y resuelve todos los problemas de conducción y distribución de cables.

Características

o Rango de temperaturas de 15 a 60 °C.

o Grado de aislamiento IP40, no metalico, con aislamiento eléctrico y sin continuidad
eléctrica.
o Índice de oxigeno L.O.I.ISO 4589:1996 > (concentración %)

Seguridad mecánica:

o Protección contra impactos IK07, impactos medios.

Seguridad eléctrica:

o Material aislante.
o IP3X.
 o Abrible sin útil

Seguridad ante el fuego:

o Hilo incandescente a 960°C

o No propagador de la llama.
o Reacción al fuego, clase m1 según UNE 23727.

Estándares y normas de referencia.

o Directiva 2006/95/CE
o Reglamento Electrotécnico para Baja Tensión RD 842/2002.
o Norma armonizada UNE EN 50.085
o Reglamento de las infraestructuras comunes de telecomunicación (RICT).
o RD401/2003.
o Directiva ROHS
o Marcado CE

Caja y placa de registro

Características

o Para conectores RJ45 Cat. 6 y cat. 5e tipo keystone en versión UTP y FTP, conectores
VF 45 y modulos multimedia (BNC, ST, LC, etc.) en la misma placa para canaleta de
40*90.
o Disponible en 1 puerto.

Estándares y normas de referencia

o Espacio para colocación de etiquetas de acuerdo a TIA/EIA 606 A.

o Listado UL 94 V.

Rack para servidores

Encargado del montaje de los servidores independientes, permitiendo asi agregar nuevos
servidores en caso de mayor demanda de recursos.
Servidores

Equipo encargado de resolver las solicitudes, brindando servicios a los clientes de la red.

NAS (Almacenamiento en Red)

Es el encargado de almacenar toda la información de los servicios, logrando realizar cambios

de discos en caliente en caso de fallas, integra la opción por hardware de crear sistemas de
RAID (matriz redundante de Discos independientes).

PRESUPUESTO

Rack para paneles de conexiones y conmutadores

TECNOLOGÍA DESCRIPCIÓN PRECIO

Rack Tipo Rack abierto

7 pies de altura

Q. 495

Material Acero

Soporta Peso 100 kg

Patch Panel o Panel de conexiones

TECNOLOGÍA DESCRIPCIÓN PRECIO

Patch Panel

Networxtm Puertos 48 Puertos RJ-45 10/100/1000,

Giga bit Ethernet

19’’ Q. 852

Modelo NP – BP483UC6C-K

Velocidad 1 GB/seg

Switch o Conmutador

TECNOLOGÍA DESCRIPCIÓN PRECIO

Cisco Puertos 24 puertos RJ-45 10/100/1000,

SG200-26 24 Gigabit Ethernet Switch Q. 2,106.00

10/100/1000 Modelo SLM2024TNA

Velocidad 1 GB/seg

UTM Fortinet

TECNOLOGÍA DESCRIPCIÓN PRECIO

UTM FortiGate Velocidad 2.5 Gbps

- 140D Sesiones 3 millones

máximas

concurrentes Q. 11,000

Nuevas sesiones 22000

por segundo

Almacenamiento 32 Gb

Conexiones 2 conexiones USB

2 puertos para redes WAN

36 Puertos RJ45

2 Puertos DMZ
UPS

TECNOLOGÍA DESCRIPCIÓN PRECIO

Ups Koblenz Modelo ER-2550

Voltaje entrada 95 – 145 VCA Q. 400

Capacidad salida 2500 VA / 2000 Watts

CABLE UTP

TECNOLOGÍA PRECIO por metro

Cable UTP Categoría 6 Q. 7.50

CONECTORES RJ45

TECNOLOGÍA PRECIO por unidad

RJ45 Q. 3.00

CAJA Y PLACA DE REGISTRO Y JACK RJ45

TECNOLOGÍA PRECIO por 1 juego

Caja y Placa de Registro y Jack RJ45 Q. 47.50

CANALETA

TECNOLOGÍA PRECIO por metro

Canaleta (mts) Q. 18.00

Los siguientes costos corresponden al Equipo del Data Center, brindadas como sugerencias en
caso de poder realizar cambios.
Rack para Servidores.

TECNOLOGÍA DESCRIPCIÓN PRECIO

Rack para almacenamiento 42 unidades rack

servidores de 19 material Acero Q. 6,000

pulgadas 42U Ventilación si

SERVIDOR

TECNOLOGÍA DESCRIPCIÓN PRECIO

Servidor en Procesador Procesador Intel® Xeon® E5-2603

rack PowerEdge v3 3.10 GHz, 15M Cache, Turbo,

R630 6C/6T (85W) Max Mem 1600MHz Q. 29,237

Memoria 16GB RDIMM, 2133MT/s,

Disco Duro Disco Duro SATA 3.5" de 2TB

(7200 RPM)

NAS

TECNOLOGÍA DESCRIPCIÓN PRECIO

Almacenamiento Almacenamiento Total 10 TB

en Red NAS DELL Discos Duros físicos 10 discos duros de 1 TB Q. 7,560

Power Vault NF600 RAID Raid 0, 1, 5.

Sistema operativo Microsoft Windows Storage

Server 2003 R2
COSTO DE INVERSION:

CANTIDAD UNIDAD DE DESCRIPCIÓN COSTO COSTO

MEDIDA UNITARIO TOTAL

1 Unidad Rack de conexiones Q. 495.00 Q.495.00

1 Unidad Patch Panel Networx Q. 852.00 Q. 852.00

1 Unidad UTM Fortinet Forti Gate Q. 11,000 Q. 11,000

1 Unidad Switch Cisco Q. 2,106.00 Q. 2,106.00

1 Unidad Ups Koblenz Q. 400 Q. 400.00

15 Unidades Caja, placa de registro y Jack Q.47.50 Q. 700.00

70 Metros Canaletas Q. 18.00 Q. 1260.00

100 Metros Cable Cat. 6 Q. 7.50 Q. 750.00

20 Unidades Conectores RJ45 Q. 3.00 Q. 60.00

Total Q. 16,623.00

El Dispositivo UTM (firewall de red con múltiples funciones añadidas, trabajando a nivel de
aplicación. Realiza el proceso del tráfico a modo de proxy, analizando y dejando pasar el tráfico
en función de la política implementada en el dispositivo.) Se instalará únicamente en el Data
Center, por lo que los demás dispositivos y medios de transmisión están enfocados hacia la red
LAN del ministerio de educación. En caso de ser aprobado el cambio sobre el equipo del Data
Center se debe agregar al costo del UTM, el rack y el servidor, de igual forma la NAS.

Diseño del Cableado Estructurado

Se utilizará la norma establecida por TIA/EIA siendo la 568 para la elaboración de Cableado
Estructurado.

Subneting

Se utiliza el subneteo para dividir la red IP física en subredes lógicas (redes más pequeñas) para
que cada una de estas trabajen a nivel envió y recepción de paquetes como una red individual,
aunque todas pertenezcan a la misma red física y al mismo dominio.

Las direcciones de la red y la máscara de subred a utilizar se establecieron en la clase C,

utilizando la dirección IP 192.168.0.0 con mascara de subred 255.255.255.0, tal como se
muestra en la siguiente tabla.
No. Dependencia IP

1. Data Center 192.168.1.1

2. Primera 192.168.2.1
3. Segunda 192.168.3.1
4. Tercera 192.168.4.1
5. Cuarta 192.168.5.1
6. Quinta 192.168.6.1
7. Sexta 192.168.7.1
8. Séptima 192.168.8.1
9. Octava 192.168.9.1
10. Novena 192.168.10.1
11. Decima 192.168.11.1
12. Onceava 192.168.12.1
13. Doceava 192.168.13.1
14. Treceava 192.168.14.1
15. Catorceava 192.168.15.1
16. Quinceava 192.168.16.1
17. Recursos humanos 192.168.17.1

Sub Redes

Se establecerán sub redes de la dirección de cada dependencia del ministerio de educacion asi
como la dependencia de recursos humanos, para segmentar toda la red en base a cada una y
poder crear subredes a partir de estas direcciones para que puedan trabajar como una red
individual.

Como mostrar todas las sub redes que tendríamos que crear motrare una pequeña fracción de
subneteo.
Red Nombre Dirección Mascara de Primera Ultima IP Broadcast
sub red subred IP
Coordinaci Auditoria 192.168.2 255.255.255. 192.168.2 192.168.2 192.168.2
ón general interna .0 224 .1 .30 .31
de la Comunicaci 192.168.2 255.255.255. 192.168.2 192.168.2 192.168.2
secretaria ón social .32 228 .33 .62 .63
192.168.2.
0
Coordinaci Patrocinio 192.168.3 255.255.255. 192.168.3 192.168.3 192.168.3
ón general .0 224 .1 .30 .31
de asesoría Normativa 192.168.3 255.255.255. 192.168.3 192.168.3 192.168.3
jurídica jurídica .32 228 .32 .62 .63
192.168.3. Contratos, 192.168.3 255.255.255. 192.168.3 192.168.3 192.168.3
0 convenios .64 248 .65 .94 .95
Coordinaci Dirección 192.168.4 255.255.255. 192.168.4 192.168.4 192.168.4
ón general administrat .0 224 .1 .30 .31
administra iva
tiva Compras 192.168.4 255.255.255. 192.168.4 192.168.4 192.168.4
financiera .32 228 .32 .62 .63
192.168.4. Dirección 192.168.4 255.255.255. 192.168.4 192.168.4 192.168.4
0 financiera .64 248 .65 .94 .95
Coordinaci Planificació 192.168.5 255.255.255. 192.168.5 192.168.5 192.168.5
ón general n técnica .0 224 .1 .30 .31
de Análisis de 192.168.5 255.255.255. 192.168.5 192.168.5 192.168.5
planificaci informació .32 228 .32 .62 .63
ón n
192.168.5. Asuntos 192.168.5 255.255.255. 192.168.5 192.168.5 192.168.5
0 internacion .64 248 .65 .94 .95
ales
Coordinaci Administrac 192.168.6 255.255.255. 192.168.6 192.168.6 192.168.6
ón general ión de .0 224 .1 .30 .31
de gestión procesos
estratégica Tecnología 192.168.6 255.255.255. 192.168.6 192.168.6 192.168.6
192.168.6. de la .32 228 .32 .62 .63
0 informació
n
Gestión de 192.168.6 255.255.255. 192.168.6 192.168.6 192.168.6
cambio de .64 248 .65 .94 .95
cultura
Tipos de segmentación (ip`s estaticas)

Para la segmentación de las redes se establecerán ip`s fijas en las subredes; como ya se
mostraron los rangos de subneteo.

Dispositivos de comunicaciones

Protocolos y dispositivos de red

Para la creación de las Redes se utilizará el protocolo de internet (asignando direcciones IP a

los host), estableciendo así las Intranets, una vez realizado esto, se segmentara las redes a
través de asignación de ip´s fijas denotadas por subneteo.

Protocolos

Los protocolos a utilizar serán:

SMTP (Protocolo de Transferencia de correo Simple): se utilizará para el correo electrónico

corporativo, mediante la instalación de Microsoft Exchange.

HTTP (Protocolo de Transferencia de Hipertexto): se utilizará para la visualización de páginas

webs de la empresa.
HTTPS (Protocolo Seguro de Transferencia de Hipertexto): se utilizará de la misma forma que la
anterior, a diferencia que consta de un método de seguridad.

SSL (Capa de Conexión Segura): se implementará para la comunicación (Criptográfica) segura

por la red.

SSH (Interprete de Ordenes Segura): se utilizará para acceder a maquinas remotas a través de
una red.

FTP (Protocolo de Transferencia de Archivo): se utilizará para el intercambio de archivos, entre

varias computadoras de una red.

SNMP (Protocolo de Administración de Red Simple): Este protocolo se utilizará para verificar el
tráfico de la red.

Dispositivos o elementos de Red

Los dispositivos a implementar serán:

Patch Panel: Encargado de centralizar el cableado estructurado, este dispositivo estaría

conectado al switch posteriormente, enviando todas las solicitudes provenientes de los
equipos y dispositivos de la red.

Switch: Conmutador encargado de conectar los dispositivos y equipos de la red.

Router: Dispositivo encargado de recibir el acceso a internet, definir los saltos de direcciones
hacia los otros edificios.

UTM: Es dispositivo será el encargado de nuestra seguridad, ya que integra las funciones de
Router, Cortafuegos, Switch, Antivirus, Proxy, VPN.

Servidores: Equipo encargado de resolver las solicitudes, brindando servicios a los clientes de
la Red.
NAS (Almacenamiento en Red): Es el encargado de almacenar toda la información de los
servidores, logrando realizar cambios de discos en caliente en caso de fallas, integra la opción
por hardware de crear sistemas RAID (matriz Redundante de Discos Independientes).

Proxy: Servidor encargado de definir los accesos a sitios webs, es el encargado del Filtrado
Web.

Puestos de trabajo: Computadoras personales donde se elaboran los procesos de negocio,

como también operaciones ofimáticas.

Teléfonos IP: Dispositivos encargados de la comunicación a través de direcciones IP,

transmitiendo comunicación digital a diferencia de la tradicional.

Cableado Estructurado: Se hará uso de cable UTP Categoría 6, ya que permite la transferencia
de 1 Giga bit por segundo, conectores RJ45 para los cables UTP, así mismo Canaletas, caja y
placas de registro para las conexiones para los dispositivos y equipos de Red, estableciendo así
el cableado horizontal y vertical.

4. Servicios que se tendrán

Servidor WEB:

Es un programa que gestiona cualquier aplicación en el lado del servidor realizando conexiones
bidireccionales y/o unidireccionales y síncronas o asíncronas con el cliente generando una
respuesta en cualquier lenguaje o aplicación en el lado del cliente. El código recibido por el
cliente suele ser compilado y ejecutado por un Navegador Web. Para la transmisión de todos
estos datos se utiliza algún protocolo. Generalmente se utiliza el protocolo HTTP para estas
comunicaciones, perteneciente a la capa de aplicación del Modelo OSI. El término también se
emplea para referirse al ordenador que ejecuta el programa.
Servidor DNS:

Servicio de nombres de dominio; proporciona la conversión del nombre común local a la

dirección física única de la conexión de red del dispositivo.
El DNS es un conjunto de protocolos y servicios (base de datos distribuida) que permite a los
usuarios utilizar nombres en vez de tener que recordar direcciones IP numéricas. Esta es
ciertamente la función más conocida de los protocolos DNS: la asignación de nombres a
direcciones IP. Por ejemplo, la dirección web en este caso es 192.168.1.6, pero para ingresar se
utilizará www.mineduc.gob.gt y no la dirección ip. Además de ser más fácil de recordar, el
nombre es más fiable. La dirección numérica podría cambiar por muchas razones, sin que
tenga que cambiar el nombre.

Servidor de BD:

Son programas que permiten organizar datos en una o más tablas relacionadas. Las bases de
datos están situadas en un servidor y se puede acceder a ellas desde terminales o equipos con
un programa -llamado cliente- que permita el acceso a la base o bases de datos. Los gestores
de base de datos de este tipo permiten que varios usuarios hagan operaciones sobre ella al
mismo tiempo: un puede hacer una consulta al mismo tiempo que otro, situado en un lugar
diferente, está introduciendo datos en la base.

Servidor de correo:

Almacenan los mensajes de correo electrónico. Un servidor de correo es una aplicación que
nos permite enviar mensajes de unos usuarios a otros con independencia de la red que dichos
usuarios estén utilizando.
Para lograrlo se definen una serie de protocolos, cada uno con una finalidad concreta:

SMTP; Simple Mail Transport Protocol: es el protocolo que se utiliza para que dos servidores
de correo intercambien mensajes.

Pop; Post Office Protocol: Se utiliza para obtener los mensajes guardados en el servidor y
pasárselos al usuario.

IMAP, Internet Message Access Protocol: Su finalidad es la misma que la de POP, pero el
funcionamiento es diferente.

Un servidor de correo consta en realidad de dos servidores: un servidor SMTP que será el
encargado de enviar y recibir mensajes, y un servidor POP/IMAP que será el que permita a los
usuarios obtener sus mensajes.
Este servidor permite definir una cantidad de buzones de correo electrónico dentro de un
dominio, en algunas configuraciones este servicio depende del servidor DNS para actuar como
intercambiador principal de correo para el dominio en cuestión.
Con un servidor de correo electrónico funcionando dentro de la intranet se garantiza que la
distribución de los correos internos se haga de manera inmediata, ya que los correos no tienen
que salir a internet.

Servidor Antivirus:

El servidor antivirus y anti-spam conjuntamente con el servidor de correo electrónico forman

la pareja perfecta en cuanto a seguridad en el filtrado de correo entrante y saliente.
Funciones del servicio de antivirus:

Filtro anti-spam

Bloquea correo que proviene de ciertas direcciones consideradas como spam.

Análisis de la cabecera, asunto y cuerpo para determinar contenido considerado como spam.

Servidor proxy:

Los servidores proxy se sitúan entre un programa del cliente (navegador) y un servidor externo
(servidor web) para filtrar peticiones, mejorar el funcionamiento y compartir conexiones.

Un servidor proxy es un equipo intermediario situado entre el sistema del usuario e internet.
Puede utilizarse para registrar el uso de internet y también para bloquear el acceso a una sede
web.

El servidor de seguridad del servidor proxy bloquea algunas sedes o páginas web por diversas
razones.

Funcionan como servidor de seguridad y como filtro de contenidos: mecanismo de seguridad

implementado por el ISP o los administradores de la red en un entorno de Intranet para
desactivar el acceso o filtrar las solicitudes de contenido para ciertas sitios web consideradas
ofensivas o dañinas para la red u los usuarios.

Mejoran el rendimiento: guardan en la memoria cache de las páginas web a las que acceden
los sistemas de la red durante un cierto tiempo. Cuando un sistema solicita la misma página
web, el servidor proxy utiliza la información guardada en la memoria cache en lugar de
recuperarla del proveedor de contenidos. De esta forma, se accede con más rapidez a las
páginas web.
Seguridad física y lógica

Sistema de seguridad del Data Center

Se velará la seguridad del Centro de Datos desde el punto de vista físico y lógico para lograr la
Confiabilidad, Disponibilidad e Integridad de la Información.

Seguridad física

El centro de Datos estará construido con materiales no inflamables como madera, duroport,
etc. Las paredes deben ser solidas elaboradas con concreto, además debe de estar situado en
un piso alto, en caso de inundaciones, protestas, huelgas, etc.

El acceso al personal del centro de Datos debe ser delimitado con puertas de acceso
compuestas de metal y cerradura.

Instalación de tierra física e Instalación de una planta industrial en caso de pérdida de energía
eléctrica, a una distancia considerable (fuera de las instalaciones) del centro de Datos.

Se debe contar con reguladores de voltaje o UPS.

Se deben instalar videocámaras dentro y fuera del centro de Datos y cuarto de

telecomunicaciones (tiendas).

Implementación de alarmas.

Utilizar aire acondicionado en el centro de Datos a una temperatura de 23 grados.

Instalar detectores de fuego y humo, poseer extintores a base de polvo químico y no en agua.

Contar con Dispositivos y Equipos de Respaldo en Caso de fallos o errores.

Seguridad Lógica

Para la seguridad lógica serán necesarios los dispositivos y métodos de seguridad que se
enlistan a continuación:

UTM (Administrador Unificado de Amenazas)

Es el dispositivo que estará a cargo de la seguridad de la red, el UTM tendrá la función de

proteger todas las salidas y entradas de paquetes de la red a través de políticas que se
gestionarán directamente en su interfaz para el control de potenciales ataques internos y
externos.

Antivirus

El antivirus se implementará a través de software, es decir se instalará el servidor de antivirus

y a través de un servidor (WSUS) se enviarán agentes a cada máquina personal, para poder
actualizar y ejecutar el antivirus. También se implementará a través del UTM, determinando si
cada paquete de solicitud hacia nuestra red no contiene código malicioso.

Cortafuegos

El cortafuego o muro perimetral se implementará a través del UTM, definiendo el acceso a

nuestra red solo a través de direcciones que provengan de redes de otras dependencias ya
conocidas.

Router

El encaminador estará configurado de forma óptima, a través de listas de control de acceso,

bloqueando la señal inalámbrica, activando la opción de cortafuegos.

VPN

Las redes virtuales privadas serán una forma de comunicar las redes de las tiendas a nuestra
data center, es decir se establecerá un túnel encriptado en donde viajará toda la información
de solicitudes y respuestas.

Proxy (Servidor de Filtrado Web)

Este Servidor estará encargado de definir los accesos a sitios webs, es decir se definirán los
sitios webs a los cuales se pueden acceder y a los cuales no, por ejemplo se bloquearían las
redes sociales, páginas de contenido para adultos, entre otros.

IDS / IPS

Sistema de Detección y Prevención de Intrusos, se implementará a través del UTM, a través de

las políticas de software que maneja la misma, definiendo las direcciones que pueden acceder
a nuestra red, bloqueando así a todas las que no estarán permitidas.

Acl´s (Listas de Control de Acceso)

Se definirán las direcciones Lógicas (IPs) permitidas a nuestra red, bloqueando así las que no
estén, como también a través de las direcciones físicas (direcciones MAC).
Vlan (Red de Área Local Virtuales)

Se implementarán a través de los switchs programables, segmentando así nuestras redes,

permitiendo el paso de paquetes o comunicaciones dentro de los mismos departamentos, no
permitiendo el acceso a otros segmentos, para la confidencialidad de la información.

Utilización de protocolos: ssh, ssl, https.

Para conexiones remotas se utilizarán protocolos que contengan seguridad, de la misma forma
para el acceso web.

Se implementarán documentos dando a conocer las políticas a manejar basados sobre el

estándar ISO 27001 basado para la seguridad de la información:

Accesos

Contraseñas

Robustas (letras, números, mayúsculas, minúsculas, números, etc.)

Con un mínimo de caracteres

Permisos

A la base de datos

A los servidores

Roles

DBA

Usuarios.

Conexiones remotas.

Copias de respaldo de las bases de datos.

Políticas para la realización de copias a nuestras bases de datos diarias, semanalmente,

quincenal y/o mensualmente

Planes de continuidad del negocio, entre otros.

Alta Disponibilidad

Se pretende tener dos accesos a internet (Claro y Tigo) en caso de la perdida de señal, Contar
con 2 UTM para el gestiona miento de la Seguridad (de diferentes marcas, por si es vulnerado
uno).

Tener 2 Switch en el cuarto de Telecomunicaciones y en cada nivel o piso del Edificio en Donde
esté situado nuestro Data Center.
Contar con energía eléctrica y una planta industrial en caso de pérdida de Energía.

Se deben realizar copias de respaldo de las bases de datos, aplicaciones, S.O. entre otros, y
almacenarlos fuera de nuestro Data Center.

5. Se debe contar con equipo y dispositivos de respaldo en caso de que estos fallen.

Plan de Continuidad del Negocio

Política de Continuidad del Negocio

Debido a la importancia de la información que se maneja el sistema, se tiene por prioridad la
seguridad informática que es encargará resguardar la integridad y privacidad del sistema y su
información.
La parte crítica será la protección de la confidencialidad, la integridad y la disponibilidad de la
información.
Confidencialidad: La información debe ser únicamente para aquello a los que está destinada.
Integridad: La información no debe ser alterada durante la transmisión o en el propio equipo
de origen.
Disponibilidad: La información debe poder ser recuperada en el momento en el que se
necesite, evitando su pérdida o bloqueo. Se necesita una participación activa de la Gerencia de
que cada departamento para poder cumplir el alcance de dicho objetivo.

Objetivos:

Mantener el nivel de servicio.

Establecer los tiempos máximos de inactividad de los activos.
Recuperar en el menor tiempo posible las situaciones inestables de los servicios y procesos.
Optimizar las acciones a realizar en el caso de desastres.
Alcance
La necesidad de implementar un BCP es una cuestión fundamental para la seguridad de los
negocios.
Es necesario obtener una visión amplia de la seguridad en toda la empresa, para poder facilitar
las políticas de seguridad centralizadas en todos los departamentos.
Para lograr este proceso es necesario realizar entrevistas y cuestionarios a todas las personas
que vayan a interactuar con el sistema con la finalidad de obtener un BCP completo y
detallado para la empresa.

Análisis de Impacto
A partir del inventario de equipos se podrá realizar un estudio de riesgos a los que estarán
sometidos y cuáles son las fallas de seguridad para cada uno.

Inventario de Redes

Red de Desarrollo: Esta red se basa en el data center de la ciudad de Guatemala, Guatemala.
Aquí se encuentran todos los elementos que se utilizan para el desarrollo de la aplicación.

o Red Administrativa: Contiene los dispositivos usados para desarrollar las tareas
administrativas, gerencias, departamentos y recursos humanos de la organización.

o Red de Soporte: Contiene los dispositivos para poder realizar labores de soporte al cliente.

o Inventario de Hardware y Software: Se toman en cuenta todos aquellos activos físicos o

lógicos que la configuración de la red. Se debe tener al menos un dispositivo de respaldo en
cada dependencia departamental.
o Dependencia entre los activos: Las dependencias que existen con cada uno de los
dispositivos es indispensable para el funcionamiento correcto de la red y del sistema.

o Switches: Son los encargados de interconectar los múltiples dispositivos de la red, también,
son los que se encargan de manipular las redes locales virtuales (Vlan) que comunican los
niveles del ministerio de educación.

o Routers: Son los dispositivos encargados de realizar la correcta comunicación de los

paquetes enviados por los Switches a través de las vlan. El router encapsula las direcciones de
las diferentes redes y les da el direccionamiento para los paquetes de datos lleguen al lugar
que el emisor mando al receptor.

o Máquinas de Escritorio y Equipos Portátiles: Son los dispositivos finales de la red, en ellos
recibe el sistema y son los que envían y reciben la información de miembros de su red o de
otra red.

o UTM: (Unified Threat Management), o Gestión Unificada de Amenazas. Es el dispositivo que

estará a cargo de la seguridad de la red, el UTM tendrá la función de proteger todas las salidas
y entradas de paquetes de la red a través de políticas que se gestionarán directamente en su
interfaz para el control de potenciales ataques internos y externos.
o Patch Panel: (Panel de Conexiones), es el dispositivo encargado de recibir todos los cables
del cableado estructurado, de tal forma que permita organizar las conexiones de la red y
gestionar una fácil incorporación de nuevos dispositivos a la red para no interferir con el
funcionamiento del sistema.

o Patch Core: Es el medio para conectar un dispositivo con otro dentro de la red, dicho en
otras palabras un Patch core es el cableado que se usara para conectar a los dispositivos de la
red.

o Conector RJ45: Es la interfaz física para la conexión del cableado con los diferentes
dispositivos, estos conectores se introducirán en las tarjetas de red en su puerto
correspondiente.
o RACK: Es un gabinete metálico que servirá para alojar equipamiento electrónico, informático
y de comunicación.

o Servidores: Es una computadora en la que se ejecuta un programa que realiza alguna tarea
en beneficio de otras aplicaciones llamadas clientes.

o Cámaras de Seguridad: Dispositivos adjuntos a los sistemas de vigilancia, los cuales se

caracterizan porque suelen no ser autónomos, sino que van unidos a sistemas de alarmas. Una
cámara de seguridad tiene por objeto vigilar un espacio específico de posibles intrusos o
controlar áreas públicas.

o Dispositivos de Seguridad Biométrica: Es la aplicación de dispositivos que utilizan los rasgos

físicos o de conducta de un individuo para la autenticación de los mismos.

o Procesos Críticos: Los procesos críticos estarán determinados en el criterio de su

indispensabilidad para el sistema: la mayor parte de sus acciones pueden realizarse de forma
manual, la atención al cliente no estará descompensada.

o Periodo Máximo de Interrupción: Se presenta el periodo máximo que los servicios y

procesos pueden estar interrumpidos en una escala de días con su escala de prioridad.

o Análisis de Riesgo: Aquí se define como una amenaza puede desencadenar un incidente en
la organización, produciendo materiales o pérdidas inmateriales en sus servicios.
Posibles amenazas y su posibilidad de que ocurran dentro del ministerio de educación

Escala de probabilidad:

o Café: nivel bajo = 0 – 4

o Amarillo: nivel medio = 5-7
o Rojo: nivel alto = 8-10
Amenazas de tipo físico o naturales

Teniendo en cuenta el centro de datos únicamente las amenazas mas puntuales en la región
de la ciudad de Guatemala son:

Escala de probabilidad:

o Café: nivel bajo = 0 – 4

o Amarillo: nivel medio = 5-7
o Rojo: nivel alto = 8-10

Evaluación de Contramedidas

Prevención de las posibles amenazas

o Robo de Software: Tiene un nivel bajo de probabilidad, para controlar esto se han impuesto
políticas de seguridad que bloquean los puertos USB y el acceso a correo electrónico ajeno al
correo interno de la empresa.
o Descarga de Software No Controlada: Tiene una alta probabilidad pues es interactuar con el
trabajo de una persona directamente, existirán políticas para regular el uso de los equipos y
también bloqueos de navegadores con la finalidad de que no puedan navegar y descargar
ningún tipo de documento.

o Intercepción de Comunicación: La probabilidad aumenta pues se tiene salida por medio de

internet hacia las demás redes, para salvaguardar las transmisiones de paquetes no deseados y
otros ataques se colocarán UTM a cada extremo permitiendo gestionar la comunicación de
entrada como la de salida, además, la VPN por la que se circularan los paquetes tiene
mecanismos de seguridad.
o Manipulación de la transmisión: Por medio de políticas de seguridad y la seguridad
anteriormente mencionada, la manipulación de transmisión quedará resguardada por lo tanto
el objeto de mayor interés es el control de las transmisiones del personal.
o Ataques de Ingeniería Social: La adecuada capacitación del personal asegurará que no
puedan robar información, además, los empleados que interactúen con el sistema deberán de
pasar constantes pruebas para medir su grado de confiabilidad.
o Errores Intencionales: Se instalarán políticas para que cada empleado sea responsable de
sus accidentes, esta política reducirá la falta de responsabilidad de los empleados con el
manejo de su información y cuidado de sus acciones.
o Corrupción de Datos: Las personas que interactúen con el sistema estarán bajo la
supervisión de personal superior para reducir la posibilidad de accidentes que traen
consecuencias dañinas contra el ministerio, además, llevaran obligadamente una bitácora para
registrar sus actividades diarias, así como un control de ingresos al sistema por medio de
sesiones.
o Troyanos: A través de servicios del servidor como el WSUS se enviarán agentes y
actualizaciones cada vez que sea necesario para que los usuarios puedan mantener su
máquina libre de virus, además, se implementaran políticas para no poder conectar
dispositivos a las computadoras ajenos a la institución, como por ejemplo celulares o
memorias flash.
o Introducción de Virus al sistema: Se seguirán los mismos lineamientos que la amenaza
anterior.
o Abuso de Privilegios: Cada departamento tendrá un encargado y él tendrá como superior a
un gerente, que, pese a que ambos pueden tener control, no tendrán un acceso total a los
datos por protección de información En el caso de los desastres naturales las contramedidas
son un poco diferentes pues son impredecibles.

o Terremoto: En este caso el plan de acción empezará después de determinar las magnitudes
de los daños pues en las mejores circunstancias la infraestructura solo recibirá una sacudida y
nada más, pero en casos más extremos se deberá considerar lo siguiente:

Cambio de Instalaciones.
Trabajo de forma remota.
Mover el Data center a una nueva instalación propia para tener una mayor garantía de que no
colapsara pese a la catástrofe.

o Incendio: La probabilidad de este riesgo es media pues se tienen previsiones para evitar que
no suceda esta amenaza, para estos casos se toman las siguientes medidas.

Colocar extintores en áreas prudentes para casos de incendios

Colocar detectores de humo en todas las áreas necesarias para prevención de incidentes.

o Inundaciones: Esta es una probabilidad bastante escasa pues por la ubicación del edificio no
permite que ocurra, además el centro de datos y cuarto de telecomunicaciones están en un
segundo nivel lo que hace aún más complejo que el nivel de agua llegue.
Desarrollo del Plan de Continuidad

Organización de los Equipos

Lugar de Reunión: El lugar de reunión del comité dependerá del estado o de la catástrofe que
pase en el edificio central, de ser un problema lógico o físico que no haya afectado la
infraestructura, la reunión será en las salas respectivas del 2do nivel del edificio.

Si en caso no se pudiera ingresar a las instalaciones por cualquier razón entonces se procederá
a un punto designado por el responsable del comité.

Equipo de Recuperación: El equipo de recuperación es el encargado de ser necesario el inicio

del plan de continuidad, de ser así se realizarán las siguientes funciones.

Traslado del equipo de recuperación hacia las instalaciones de la data center, o hacia un punto
de reunión determinado por el encargado.
Se tomará en cuenta la última copia de seguridad realizada en los equipos.
Se reutilizarán los equipos necesarios para poder volver a comenzar el proceso de trabajo. Se
contactará con el personal de logística para la solicitud de todos los equipos o dispositivos
faltantes con los proveedores.

Equipo de Logística: Es responsable de todo lo relacionado con las necesidades logísticas de

la empresa. Por consiguiente:

o Atender las necesidades de primera instancia tras la contingencia.

o Contactar con los proveedores para solicitar material.
o Realizar los procesos manualmente de ser necesario y dada las condiciones del problema.
Recuperación de Desastre

Procedimiento de Restauración

El orden de las funciones se realizará según la criticidad de los sistemas perdidos.

Procedimientos de Soporte y Gestión

Una vez recuperados los sistemas, se avisará a los equipos de los departamentos que
gestionan los sistemas para que realicen las comprobaciones necesarias que certifiquen que
funcione correctamente.
El equipo de seguridad deberá comprobar que existen las garantías de seguridad necesarias
antes de dar por terminada la fase de recuperación.

Análisis de impacto

Determinar los costos totales de los materiales, recursos e información pérdida en forma
económica y cuál es la inversión que tendrá que hacer la institución para regresar a la
normalidad.

Adquisición de Nuevo Material

Conocer la inversión total para la recuperación de la institución en base al reporte del comité
de logística y el comité de recuperación.

Sistemas operativos a utilizar

Sistema operativo: Cliente

Los sistemas operativos a implementar en las maquinas clientes podrían ser sistemas
operativos con licencia propietario o no propietario (software libre). Debido a que las
solicitudes se realizaran en un servidor de aplicaciones.
La arquitectura a implementar del sistema será: arquitectura de 3 capas o niveles.

Primera capa: cliente

Segunda capa: servidor de aplicaciones
Tercer capa: servidor de base de datos
Los cuales pueden ser:
Propietario
o Windows 7
o Windows 8
o Windows 10
o No propietario
o Ubuntu
o Kubuntu
o Xubuntu

Sistema operativo: Servidores

Para administrar el hardware de los servidores se utilizará la virtualización utilizando como

plataforma VMware ESXi 5, logrando así a futuro implementar nuevos recursos (hardware) a
los servidores en caso de que se desee expandirse a un mercado mucho mayor.
El sistema operativo a implementar sobre la plataforma VMware ESXi 5 será: Windows Server
2012.

El servidor estará configurado para poder brindar los servicios necesarios, tomando en cuenta
la seguridad lógica a través de un Directorio Activo, políticas de acceso, contraseña, entre
otros.

Otro de las razones por la cual se utilizará virtualización además de la escalabilidad del
hardware, es la facilidad en las copias de respaldo que se pueden obtener, permitiendo
realizar una copia del sistema operativo completo que se esté virtualizando, estableciendo así
copias de respaldo de nuestros servidores de base de datos y aplicaciones.
CONCLUSIONES

Se recomienda utilizar base de datos descentralizados con enlaces dedicados simétricos en

cuestión a conectividad de internet, además de regionalizar los servidores y realizar captaciones
cíclicas de información con el propósito de descongestionar la subida de información a la base
de datos central, como se muestran en los diagramas iniciales, la utilización de diversos routers
para la sede central nos garantiza estabilidad de la red, que al momento de sufrir uno algún fallo
los otros respaldaran inmediatamente evitando caídas del sistema, además al contratar dos
servicios de telefonía que brinden el servicio de internet podemos establecer un servicio
específico para la conectividad wifi del edificio de recursos humanos para evitar saturaciones
del sistema, la distribución de la red mostrada en la gráfica numero 1 es la recomendada a
utilizar en cada una de las dependencias departamentales a nivel nacional recalcando
nuevamente la necesidad de sectorizar la captación de información, otra medida es que las
empresas de telefonía ahora brindan espacios en la nube por cierta cantidad de megas
contratados esto nos garantiza tener un respaldo de la información, la disponibilidad y la
confiabilidad e integridad de la misma.