Brochure CRopTI 2015 Versión I
Catálogo Amenazas y Vulnerabilidades Riesgo operacional Datacenter Continuidad y disponibilidad de servicios del datacenter misión crítica Prefacio Lo peor que puede hacerse en el análisis de riesgos operacionales es no considerarlos Orientación Hemos construido un catálogo con más de 300 puntos de control para el registro y análisis de los riesgos que impidan el normal funcionamiento del datacenter misión crítica, responsable de la producción de la organización. El criterio de análisis y posterior selección de opciones se basa en buscar todo elemento o condición asociados o relacionados que impida, amenace o trastorne el normal y/o correcto funcionamiento del datacenter creando alto impacto en el negocio. Se revisan todos los sistemas y cada uno de sus componentes como partes integrantes de los elementos críticos que permiten la continuidad. Se estudia cada una de las líneas o “hebras” fundamentales para sostener la operación como cadena de provisión de servicios; integradas por componentes que por sí solo pueden ser causa o provocar la discontinuidad o caída de desempeño para operación. A modo referencial se mencionan el contendió de más de 100 normas técnicas de infraestructura, operación, continuidad, seguridad, calidad y cumplimiento. El alcance del catálogo se extiende a:
5 Políticas basales 14 Sistemas intervenidos 300 Puntos de control Criterio de búsqueda y determinación Metodología de evaluación Buenas prácticas – Mejora continua
Autor Ricardo Falcon
Normas referidas: TIA, NFPA, ASHRAE, IEEE, LEED,ANSI/TIA-942, ICREA, UTI, ISO-20000, ISO-27001,ISO-22301,ISO38500,ISO-31000,ISO-13335, ISO-11801,ISO-9126, TIA-568, TIA-607, ISO-11064, ISO-25000, ISO-14001, ISO-50000, ISO-14644, UNE EN-50160, CET-61000 IEC-61643 UNE-61008-1 UNE-20460 UNE-50310, EN 56000. Otros: ITIL V2, ITLV3, COBIT, BICSI
Relator y consultor internacional en la temática de Normas de Data center su diseño y construcción, y administración de servicios. Ingeniero de sistemas, con una maestría en seguridad informática y certificación internacional de diseño datacenter. Actualmente dicta cursos y workshops del tema y varios países de la región, cuenta con más un centenar de capacitaciones realizadas en LATAM. Con más de 25 años de experiencia en el área de infraestructura y desarrollo de sistemas, destaca su experiencia internacional en IBM Canadá ,Consulting en E.E.U.U. y la administración de uno de los datacenter más importante de su País, con servicios de misión crítica para la banca, la gestión pública de compras y una autoridad certificadora nivel root. Ha desarrollado numerosas consultoría sobre administración y gestión de datacenter, assesment managment, seguridad y Business Continuity Managment. Otras publicaciones: Guía de administración de datacenter, misión crítica.
Índice del contenido del Catálogo Solo referencial
Prólogo Breve introducción al tema del compromiso de provisión de servicio y los riesgos para sostenerlo. Conceptos preliminares Desarrollo de conceptos basales por los cuales se rigen el análisis de amenazas y vulnerabilidades en general. Autoridad y regulación Como participa y la injerencia que tiene en forma directa e indirecta la autoridad reguladora que controla este tipo de operaciones. Negocio y sus políticas Determinación de las políticas que enmarcan y regulan la orientación interna tanto en la búsqueda como en la evaluación de amenazas y vulnerabilidades propias del negocio y sus objetivos se intereses. Normas técnicas de datacenter Revisión de la norma técnicas relacionadas con la infraestructura, operación, seguridad, mantenimiento y cumplimento de un centro de datos de misión crítica. Definiciones Desarrollo de un breve glosario para alinear al lector con una serie de términos y su definición o explicación. • Fundamentos • Términos Técnicos • Políticas
Criterio de ordenamiento Se puede establecer un orden a partir de los elementos provocadores o gatilladores de acuerdo a la naturaleza de su origen: Destrucción parcial, agua, fenómenos eléctricos, temperatura, humedad, fallas en general y errores por parte del equipo profesional; o de acuerdo a los elementos que son afectado: edificio, sistemas, operación, mantenimientos –operación en cambio- y personal.
PARTE I Ambientales o Externas Endógenas Toda amenaza o vulnerabilidad que tenga origen ambiental o de orden externo al datacenter, predecibles o impredecibles. Amenazas naturales: Inundaciones y vientos, descargas eléctricas, eventos sísmicos, temperatura y humedad, corrosión y polución. Amenazas no naturales: Ubicación inadecuada, revuelta social y otras condiciones de riesgos por locación.
PARTE II Edificio e instalaciones Toda amenaza o vulnerabilidad que tenga origen a partir del edificio, como construcción y sus instalaciones –sistemas incrustados o adosados a la construcciónEdifico e instalaciones, construcción, ductos, shaft y drenes, sanitarios y cañerías, material de construcción muros y revestimientos, vía de accesos, diseño y distribución interna.
Práctica Forense Se entrega una pauta sobre práctica forense o investigación de hechos con resultado de daño o desastre, para incorporarla como procedimiento de buenas prácticas y aplicación de mejora continua; primero en la investigación, luego en la aclaración, para finalizar con la corrección del elemento que produjo el evento.
Sumario de recomendaciones PARTE III Infraestructura Sistemas, equipos y componentes Toda amenaza o vulnerabilidad que tenga origen y/o involucre: Sistema de potencia, circuito eléctrico, tablero eléctrico principal y auxiliar, sistema de tierra, cableado de comunicaciones, sistema de climatización, sistema de extinción de incendio seco y húmedo. Equipos, conectividad y componentes de mayor uso y criticidad. Piso elevado, puertas de accesos, elementos de seguridad de acceso. Protección al fuego y al electromagnetismo. Además, se prolonga o extiende el análisis hacia los proveedores de Duties.
PARTE IV Operación Toda amenaza o vulnerabilidad que tenga origen y/o involucre: La cadena de provisión de servicios en continuidad y disponibilidad con el compromiso de negocio. Sistemas, procesos y métodos que puede ser más o menos sensibles a la operación, y pueden ser más o menos críticos por impacto al negocio. Gestión de entrega, cambio, capacidad, problemas, incidencias, relaciones, seguridad, comunicación y conocimiento.
PARTE V Mantenimiento Toda amenaza o vulnerabilidad a partir de elementos de cambio y/o intervención de terceros o externos en la operación del datacenter. Actividades y protocolos para la labor de mantenciones preventivas, correctivas y programadas con y sin intervención de empresas externalizadas.
Parte VI Factor Humano RRHH Equipo de Profesionales Toda amenaza o vulnerabilidad que tenga origen o naturaleza en la intervención del personal profesional responsable del datacenter, basado fundamentalmente en: Errores, negligencia dolosa, culposa, accidental y sabotaje.
Incluye más de 100 recomendación a partir de experiencia de casos reales que tuvieron distintos desenlaces de acuerdo a las acciones tomadas previamente o como reacción al hecho, y pasaron a ser incluida en la base de datos de hechos riesgosos.
Sobre el Catálogo Entregable al Cliente CRopTI v1
Características Técnicas Nominativo: Libro impreso para cada cliente Incluyendo numeral. Impresión : 120 Páginas. Dimensión : 21x28mm Peso : 380 grs. Formato : Carta Lenguaje : Español Formato digital : No disponible ISBN : 987-956-358-467-7
Valor por unidad USD 90 No incluye envió y entrega. Costos envió : Cargo del cliente. Origen : Santiago de Chile. Plazo de entrega 7 días a SCL. Plazo de entrega a LATAM: Relativo a cada País. Aproximado 30 días hábiles.
Medio de pago 1.- TC vía Paypal Código Paypal: DOC-CROPTI Botón de Pago en www.datacentersuite-latam.com 2.- Transferencia electrónica Solicitar Swift de trx. 3.- Pago local: depósito e.m.n Solicitar Cuenta Bancaria. Deberá agregar Tax Locales.
Procedimiento Compra vía Paypal código: Proveedor: Datacentersuite Producto: DOC-CROPTI Recepción de Voucher de pago. Recepción de mail con instrucción delivery por parte del cliente. Notificación del despacho según Instrucciones. Acuso de recepción.