Lineamientos generales

El espacio habilitado responde a los lineamientos empleados para requerimientos de almacenamiento de datos de otras iniciativas gestionadas por el Ministerio de Ciencia, Tecnología e Innovación (MINCyT). Esos lineamientos están orientados a dotar de robustez a diversos aspectos de la gestión de los datos:

• Seguridad física

• Seguridad lógica - Acceso restringido

• Gestión de contingencias

En las siguientes secciones se brindan precisiones sobre cada uno de estos aspectos.

Seguridad física

Los datos se encuentran físicamente almacenados en un dispositivo de tipo SAN (Storage Area Network) alojado en el Centro de Cómputos de MINCyT, en el Polo Científico-Tecnológico. El acceso a ese espacio de alojamiento se encuentra restringido por mecanismos de identificación biométrica, y limitado al personal técnico a cargo de su gestión. Adicionalmente, dispone de sistemas automáticos para la detección y extinción de incendios, sistemas de refrigeración de precisión, y protección eléctrica mediante UPSs (sistemas de alimentación eléctrica ininterrumpibles) redundantes.

El espacio de almacenamiento designado está contenido dentro de un volumen creado en un agrupamiento compuesto por la agregación de varios arreglos redundantes de discos independientes (RAID - Redundant Array of Independent Disks) configurados de conformidad al nivel 5 de ese sistema (RAID 5), que brinda tolerancia a la falla de una unidad de discos sin afectar la continuidad del servicio. A su vez, el dispositivo SAN dispone de unidades de disco de reemplazo (spare) para la sustitución inmediata y automática frente a la presencia de una condición de falla. La provisión inmediata de nuevas unidades de spare se gestiona a través de un contrato de mantenimiento con un canal autorizado por el fabricante.

Seguridad lógica - Acceso restringido

El espacio de almacenamiento habilitado solo es accesible mediante el inicio de una sesión de usuario/a y a través un servidor de archivo (File Server) que integra el dominio institucional interno de MINCyT. Ni el servidor de archivos ni el dispositivo de almacenamiento constituyen recursos que se encuentren expuestos en forma directa a la red pública (Internet). La gestión de estos recursos emplea protocolos que constituyen estándares de la industria, como LDAP (Lightweight Directory Access Protocol) y Kerberos para la administración de identidades y grupos de usuarios, permisos de acceso, etc.

El inicio de una sesión de usuario/a que permita el acceso al espacio de almacenamiento habilitado requiere del uso de credenciales extendidas a título personal (nominales), provistas a sus titulares mediante mecanismos de comunicación seguros. La sesión de usuario/a debe ser iniciada desde una estación de trabajo de la infraestructura (dominio) de MINCyT. La provisión o revocatoria de permisos de acceso a una identidad de usuario/a sobre el espacio de almacenamiento habilitado es realizado estrictamente por el grupo técnico a cargo de la administración de estos recursos y solo sobre la base de una comunicación electrónica emitida por la autoridad competente en el ámbito de la Secretaría de Planeamiento y Políticas en Ciencia, Tecnología e Innovación (SPyPCTI).

El acceso al espacio de almacenamiento habilitado desde localizaciones externas a MINCyT solo puede tener lugar a través de un mecanismo indirecto que supone el inicio de una sesión remota en una estación de trabajo virtualizada del dominio de MINCyT, sujeta a las mismas condiciones de seguridad, uso de credenciales y encriptación de la comunicación. La habilitación (y revocatoria) de la posibilidad de iniciar una sesión de este tipo, también efectuada estrictamente por el grupo técnico a cargo de la administración de estos recursos y sobre la base de una comunicación electrónica emitida por la autoridad competente en el ámbito de la SPyPCTI.

Gestión de contingencias

El espacio de almacenamiento habilitado se encuentra alcanzado por los procedimientos regulares de resguardo diario que supone la generación automatizada de copias de seguridad en medios removibles. La administración de esos procedimientos y el acceso a los medios en que tienen lugar las copias de resguardo se encuentran limitados al grupo técnico a cargo de la gestión de estos recursos. La restauración de una copia de resguardo es activada a partir de una comunicación electrónica emitida por la autoridad competente (de la SPyPCTI) y convalidada por el Director de Sistemas Informáticos.