Normas sobre Tecnologías de la Información y Comunicación - NORTIC

Normas sobre Tecnologías de la Información y Comunicación - NORTIC

Infraestructura Tecnológica

En el siguiente capítulo se establecen las directrices que todo organismo gubernamental debe aplicar para una correcta disposición de su infraestructura a nivel de conectividad, servicios de la Voz sobre IP (VoIP, por sus siglas en inglés) y la documentación de la red, así como para la computación en la nube.

  • Conectividad Abrir o Cerrar

    Para una conectividad efectiva a nivel de datos, todos los organismos gubernamentales deben hacer una buena administración de su Red de Área Local, la Red Privada Virtual y la Red de Área Local Inalámbrica (LAN, VPN y WLAN, respectivamente, por sus siglas en inglés), evitando la infiltración de intrusos y pérdida de información.

     

    Administración de la red de área local

    Toda LAN debe poseer un esquema de su topología de datos y direccionamiento, permitiendo así una mejor configuración y conexión física de sus equipos, tales como: enrutadores y conmutadores; por lo que estos deben cumplir con los requerimientos necesarios para operar en la red de datos.

    Topología y direccionamiento

    1. La LAN de cada organismo gubernamental debe estructurarse en base a una de las siguientes topologías de red:
      • Topología estrella: Es aquella en la cual todos los puntos deben conectarse a un dispositivo central en la red.

      • Malla completa: Es aquella en la cual todos los dispositivos deben tener conexión redundante entre sí.

      • Malla parcial: Es aquella en la cual algunos dispositivos deben tener conexión redundante con otros dispositivos en la red.

    2. Todo direccionamiento de la red debe estructurarse en base a una de estas clases de direcciones IP privadas:

      • Direcciones de Clase A, las cuales comprenden un rango desde la 10.0.0.0 hasta la 10.255.255.255 para 16,777,214 dispositivos por red.

      • Direcciones de Clase B, las cuales comprenden un rango desde la 172.16.0.0 hasta la  172.31.255.255 para 65,534 dispositivos por red.

      • Direcciones de Clase C, las cuales comprenden un rango desde la 192.168.0.0 hasta la 192.168.255.255 para 254 dispositivos por red.

    3. Debe implementarse procesos para mejorar la segmentación de la red, tales como:
      • División de sub-redes como técnica de direccionamiento de la red.

      • Máscaras de sud-red de tamaño Variable (VLSM, por sus siglas en inglés) como solución de direccionamiento y reducir el desperdicio de direcciones IP.

      • Sumarización de direcciones IP, para la optimización recursos en los cálculos de las rutas IP.

      • Cualquier otro que se considere necesario. 

    Enrutadores y conmutadores

    1. El enrutador debe contar con las siguientes características:
      1. Soportar mínimamente los siguientes protocolos:

        • Protocolo de Información de Enrutamiento (RIP, por sus siglas en inglés).

        • Protocolo del Primer Camino Más Corto (OSPF, por sus siglas en inglés).

      2. Soporte para direccionamiento IPV4 e IPV6.

      3. Herramientas para realizar el respaldo de las configuraciones.

      4. Soporte o garantía por parte del proveedor, en caso de averías o daños.

      5. El enrutador debe ser interoperable con cualquier otro equipo de la red.

      6. Acceso vía línea de comando y gráfica.

      7. Controles de autenticación para el acceso.

    2. El conmutador debe contar con las siguientes características:

      1. Compatibilidad con los estándares del IEEE:

        • IEEE 802.1, para evitar el acceso no autorizado a la red de datos por medio de la capa 2.

        •  IEEE 802.3u, y superiores, como estándar para los medios Ethernet.

        1. Soporte para los siguientes protocolos de gestión remota:
          • Protocolo Simple de Administración de Red (SNMP, por sus siglas en inglés).

          •  Protocolo de Red de Telecomunicación (Telnet, por sus siglas en inglés).

          •  Protocolo de Transferencia de Hipertexto (HTTP, por sus siglas en inglés).

        2. Luces que indiquen el estado del equipo, tales como:
          • Encendido.

          •  Actividad de conexión.

          •  Conexión estable.

          •  Cualquier otro estado necesario.

        3. Debe tener herramientas para realizar respaldo de las configuraciones.

        4. Debe tener soporte o garantía por parte del proveedor, en caso de averías o daños.

        5. Debe ser interoperable con cualquier otro equipo de la red.
        6. Debe permitir la implementación de Red de Área Local Virtuales (VLAN, por sus siglas en inglés).

        7. Debe permitir configuraciones para la segmentación de la red.

    Conexión física entre dispositivos

    1. Si la longitud del segmento de red de dato es igual o menor a 100 metros, debe utilizarse la configuración en base a:
      • 100BASE-T, para Fast Ethernet sobre Par Trenzado sin Blindaje (UTP, por sus siglas en inglés).

      •  1000BASE-T, para Gigabite Ethernet sobre Par Trenzado sin Blindaje (UTP, por sus siglas en inglés).

    2. Si la longitud máxima del segmento es de 550 metros, debe utilizarse Gigabit Ethernet 1000BASE-LX.

    3. Si la longitud máxima del segmento es de 220 metros, debe utilizarse Gigabit Ethernet 1000BASE- SX 62.5 de micrones.

    4. Todo el cableado de la red debe estar etiquetado e identificado.

    5. Las categorías de cable UTP permitidas son las siguientes:

      • Categoría 5e, para soportar velocidades de transmisión de datos hasta los 100 Mbps.

      •  Categoría 6, para soportar velocidades de transmisión de datos hasta los 1,000 Mbps.

      •  Categoría 7, para soportar velocidades de transmisión de datos hasta los 10 Gigabit Ethernet.

    6. La configuración del medio de transmisión de datos debe ser en bidireccional simultánea.

    7. El conector terminal para el cableado debe ser:

      1. Para UTP:

        • Conector Registrado 45 (RJ-45, por sus siglas en inglés) para UTP.

      2. Para fibra óptica:
        • Conector Cuadrado y el Conector Cuadrado Dúplex (SC, por sus siglas en inglés).

        •  Conector de Punta Recta (ST, por sus siglas en inglés).

        •  Conector Lucent (LC, por sus siglas en inglés).

        •  Conector de Canal de Fibra (FC, por sus siglas en inglés).

        •  Conector de Interfaz de Datos Distribuida por Fibra (FDDI, por sus siglas en inglés).

     

    Administración de la red privada virtual y la red de área local inalámbrica

    1. Los protocolos de seguridad en las conexiones en una VPN que los organismos deben utilizar son los siguientes:
      • Seguridad del protocolo IP (IPsec, por sus siglas en inglés).

      • Capa de Conexión Segura (SSL, por sus siglas en inglés).

      • Intérprete Órdenes Seguras (SSH, por sus siglas en inglés).

    2. Las conexiones VPN deben utilizar algoritmos y protocolos que aseguren la integridad de los datos, tales como:

      • Algoritmo de Resumen del Mensaje[41] (MD5, por sus siglas en inglés).

      • Algoritmo de Hash Seguro (SHA1, por sus siglas en inglés).

    3. Debe implementarse algoritmos de cifrado de datos, tales como:
      • El Estándar Triple de Cifrado de Datos (TDES, por sus siglas en inglés).

      • El Estándar de Cifrado Avanzado (AES, por sus siglas en inglés).
    4. Los estándares que deben utilizarse para la conexión en la WLAN tienen que estar bajo criterios de la IEEE.

    5. La WLAN debe tener métodos de cifrado como el Acceso WIFI Protegido (WPA, por sus siglas en inglés), el Acceso WIFI Protegido 2 (WPA2, por sus siglas en inglés) y cualquier otro superior.

    6. Debe proveer funcionalidad para las Zonas Desmilitarizadas (DMZ, por sus siglas en inglés), el protocolo de Autenticación Remota para Servicios de Marcado a Usuarios (RADIUS, por sus siglas en inglés) y el Protocolo de configuración Dinámica de Host (DHCP, por sus siglas en inglés).

    7. Debe estar en una sub-red diferente a las demás redes.

     

    Estructura del centro de datos y administración de servidores

    Los organismos gubernamentales deben disponer de una topología de red del centro de datos, la cual permita identificar las diferentes áreas de operación, disposición de equipos y cableados. Del mismo modo, debe contar con un sistema de ventilación y espacios físicos adecuados. Los servidores de datos deben estar administrados contando con políticas de seguridad y herramientas de respaldo de información, así como también con los requerimientos mínimos de hardware para su operación.

    Topología del centro de datos

    1. Debe crearse un diseño de la topología como se muestra en el figura 1.
        1. Diseño para la tipología de centro de datos
    2. Debe contar con un Cuarto de Entrada (ER, por sus siglas en inglés) para la conexión del proveedor del servicio.

    3. Debe contar con un Área Central de Distribución (MDA, por sus siglas en inglés) para la conexión del cableado Cruzado Principal (MC, por sus siglas en inglés).

    4. Debe contar con un Área Horizontal de Distribución (HDA, por sus siglas en inglés) para la conexión del cableado Cruzado Horizontal (HC, por sus siglas en inglés).

    5. Debe contar con un Área de Distribución Zonal (ZDA, por sus siglas en inglés) para el punto de consolidación.

    6. Debe contar con un Área de Distribución de Equipos (EDA, por sus siglas en inglés) para la localización de los equipos y armarios.

    7. Debe contar con un área para el centro de operaciones y soporte.

    Cableado del centro de datos

    1. El cableado entre las diferentes áreas debe tener las siguientes especificaciones:
      1. Contar con un cableado horizontal desde HDA a una entrada en el EDA o ZDA.

      2. El tipo de cable a utilizar debe tener las siguientes especificaciones:
        1. Cable de par trenzado de 100 ohm de categoría 6, certificado bajo el estándar ANSI/TIA/EIA-568B.2-1.

        2. Cable de fibra óptica multimodo 62.5/125 micrones, 50/125 micrones, o algún otro superior, aprobado por el estándar ANSI/TIA/EIA-568-B.3.

        3. Cable de fibra óptica monomodo, certificado bajo el estándar ANSI/TIA/EIA-568-B.3.

        4. Cable coaxial de 75 ohm tipo 734 y 735.
      3. La distribución del cableado debe ser mediante bandejas o canaletas que posean las diferentes divisiones, tanto para cableado UTP, coaxial, fibra óptica y el cableado eléctrico.

      4. Debe elaborarse y aplicarse un esquema de etiquetado para los armarios, cables, paneles de conexión y los cables de conexión entre los paneles.

    Condiciones físicas y ambientales del centro de datos

    1. La altura mínima del centro de datos debe ser de 2.6 metros.
    2. El tamaño de la puerta debe ser igual o superior a 1 metro de ancho y 2.13 metros de alto.

    3. La temperatura debe estar entre 20 y 25 grados Celsius.

    4. Debe contar con una alarma contra incendios.

    Administración de servidores del centro de datos

    1. El servidor debe contar con las siguientes especificaciones mínimas:
      • Una herramienta de respaldo y un sistema de restauración en caso de fallas.

      • Tarjeta de red redundante.

      • Reporte o informe de fallas en el hardware y sistema del equipo.
      • Utilizar técnicas para el balanceo de cargas cuando exista una saturación en el tráfico de información.

    2. Debe utilizarse servidores de prueba, antes de realizar cambios en la red en un ambiente de producción.

    3. Debe aplicarse políticas de control y manteamiento, tales como:
      1. Establecer políticas y controles para la aplicación de actualizaciones, tomando en cuenta las directrices mencionadas en el punto sobre Actualización del software adquirido.

      2. Elaborar políticas de usuario para la asignación de los privilegios de acceso físico al centro de datos, según lo establecido en el punto sobre Controles de acceso a la infraestructura.

      3. Establecer políticas para la generación de copias de respaldo del sistema de acuerdo a lo establecido en el punto sobre Respaldo de la información.

      4. Elaborar políticas de seguridad basadas en el uso de sistemas de protección contra intrusos.

    4. Los servidores deben contar mdínimamente con los siguientes sistemas de protección:

      • Antivirus.

      • Cortafuegos.
    5. Debe utilizarse una o más de las siguientes tecnologías de almacenamiento que soporten Entradas y/o Salidas (I/O, por sus siglas en inglés) o un Conjunto Redundante de Discos Independientes (RAID, por sus siglas en inglés) tales como:

      • Interfaz de Sistema para Pequeñas Computadoras versión 3 (SCSI 3, por sus siglas en inglés).
      • Acoplamiento Serial SCSI (SAS, por sus siglas en inglés).

      • Unidad de Estado Sólido (SSD, por sus siglas en inglés).

      • Cualquier otro medio compatible con esas tecnologías.

     

    Administración del servicio de voz sobre IP

    1. El cableado de la red debe estar basado en UTP categoría 5e o superior.
    2. Debe separarse el direccionamiento de la VOIP de la red de datos.

    3. Los conmutadores utilizados para la implementación de la VOIP deben soportar:

      • Arquitectura de conmutación en base a VLAN, para una mejor segmentación del tráfico de la red generado por el VoIP.

      • Calidad de servicio (QoS, por sus siglas en inglés), para obtener un mejor rendimiento en el tráfico de llamadas en la red.

     

  • Documentación de la red de datos Abrir o Cerrar
    1. Debe elaborarse un diagrama de la LAN, en el cual se presenten como mínimo los siguientes elementos:
      • Dispositivos de la red: Enrutador, conmutador, servidores y cualquier otro equipo de relevancia que contenga la topología.

      • Líneas de conexión entre los diferentes dispositivos.

      • Nombre de la interfaz física de los dispositivos.

    2. Debe realizarse una documentación del direccionamiento IP de la red que contenga como mínimo los siguientes requerimientos:

      • Sub-redes.

      • Las VLAN.

      • Direcciones IP asignadas y su máscara de red.

      • Cantidad de equipos en el segmento de red.

      • Código de los equipos.

      • Paquete de direcciones IP públicas provistas por los Proveedores de Servicio de Internet (ISP, por sus siglas en inglés).

    1. Debe elaborarse un plan de distribución del cableado especificando la siguiente información:

      • Lugar de conexión: Este incluye la conexión de los Puntos de Distribución Central (MDF, por sus siglas en inglés) a los Puntos de Distribución Intermedios (IDF, por sus siglas en inglés) o algún otro lugar de conexión en la topología.

      • Código de cable que conecta ambos puntos.

      • Tipo de conexión cruzada vertical o conexión cruzada horizontal, y el número de puerto de conexión en el dispositivo.

      • Tipo de cable utilizado.

      • Estado de la conexión, si es habilitado o deshabilitado.
    1. Si toda la documentación es realizada a través de un software o una CMDB, este debe proveer toda la información antes descrita y cualquier otra de interés para el organismo gubernamental.
  • Computación en la nube Abrir o Cerrar

    Con el objetivo de mejorar los servicios utilizados y ofrecidos por los rganismos gubernamentales mediante el uso de la nube computacional, se describen las siguientes pautas que deben implementarse para una efectiva administración y configuración de esos servicios e infraestructura.

    1. Todo servicio computacional en la nube utilizado o implementado por los organismos gubernamentales debe cumplir con las siguientes características:

      • Auto-servicio bajo demanda, en el cual los organismos puedan solicitar recursos sin interacción con el proveedor.

      • Acceso a través de diferentes medios, permitiendo a los organismos acceder mediante cualquier dispositivo.

      • Agrupación de recursos, en el cual los recursos se encuentren agrupados en un lugar común para diferentes organismos.

      • Elasticidad, en la cual los organismos puedan aumentar la capacidad de sus recursos de acuerdo a las necesidades.

      • Medición del servicio, en donde el organismo pueda monitorear y controlar el uso de sus recursos.

    2. Todo modelo de servicio computacional en la nube utilizado o implementado por los organismos gubernamentales debe estar bajo los siguientes criterios:

      1. Para una Infraestructura como Servicio (IaaS, por sus siglas en inglés):

        1. Debe proveerse al organismo de procesamiento, almacenamiento, redes y cualquier otra característica de hardware necesitado, en la cual el organismo pueda implementar sus sistemas o aplicaciones.

        2. El organismo, debe administrar sus aplicaciones y sistemas dispuestos sobre la infraestructura de la nube computacional.

        3. La infraestructura física de la nube computacional debe estar administrada por el proveedor del servicio.

      2. Para una Plataforma como Servicio (PaaS, por sus siglas en inglés):

        1. Debe permitírsele al organismo, desarrollar y ejecutar sistemas codificados en base a diferentes lenguajes de programación y tecnologías que el proveedor del servicio brinde soporte.

        2. El organismo debe tener control de las aplicaciones y sistemas desarrollados.

        3. La infraestructura física de la nube computacional debe estar
          administrada por el proveedor del servicio.

      3. Para un Software como Servicio (SaaS, por sus siglas en inglés):
        1. El organismo debe hacer uso de todas las aplicaciones que se ejecutan en la infraestructura de la nube computacional.

        2. Las aplicaciones ejecutan en la infraestructura de la nube computacional deben ser accesibles por el organismo desde cualquier dispositivo, a través de un navegador web.

        3. El proveedor del servicio debe administrar y controlar toda la infraestructura de la nube computacional, así como aplicaciones y sistemas.

    3. Todo servicio computacional en la nube utilizado o implementado por los organismos gubernamentales debe tener al menos una de las siguientes certificaciones:

      • ISO/IEC 27001:2005, sobre técnicas de seguridad de la información y administración de sistemas. Certificada y auditada por la ISO.

      • Controles de la Empresa de Servicios 1 y 2 (SOC 1, SOC 2, por sus siglas en inglés) junto con la Declaración sobre Normas de Auditoria 16 y el Estándar Internacional en Aseguramiento de Compromisos 340 (SSAE 16/ISAE, por sus siglas en inglés),para medir el control de las informaciones financieras de una organización o presa de servicios.

      • Matriz de Control en la Nube[88] (CCM, por sus siglas en inglés), creada por la CSA para controles de seguridad en plataformas de clientes y proveedores de servicios computaciones en la nube.