Anda di halaman 1dari 11

29 DE ABRIL DE 2018

AA6-EV1-PLAN DE RESPALDO PARA LAS


SECRETARÍAS DE GOBIERNO Y HACIENDA
DE SAN ANTONIO DEL SENA
PRESENTADO POR: MA. FERNANDA ALVAREZ GALLARDO

TUTOR: ANDRÉS FELIPE PARRA MARTÍNEZ


SENA – ESPECIALIZACIÓN TECNOLOGICA EN GESTIÓN Y SEGURIDAD DE
BASES DE DATOS
Contenido
1. INTRODUCCIÓN ......................................................................................................................... 2
2. OBJETIVOS ................................................................................................................................. 2
3. ALCANCE .................................................................................................................................... 2
4. IDENTIFICACIÓN Y ANALISIS DE RIESGOS .................................................................................. 3
4.1 Riesgos con incidencia externa ........................................................................................... 3
4.2 Riesgos con incidencia interna ............................................................................................ 3
4.2.1 Incumplimiento de contratista ..................................................................................... 3
4.2.2 Posibles retrasos en procesos administrativos: ........................................................... 3
4.2.3 Contratación sin asistencia técnica .............................................................................. 3
4.2.4 Posible pérdida de información: .................................................................................. 3
4.2.5 Posible falla de equipos electrónicos y Hardware fuera de inventario: ...................... 3
4.2.6 Posibles Fallas en el Flujo de Energía Eléctrica: ........................................................... 3
4.2.7 Posible calentamiento de la Sala de Computo: ............................................................ 3
5. PLAN DE MITIGACIÓN ............................................................................................................... 4
5.1 Proceso de respaldo ............................................................................................................ 4
5.1.1 Proceso de respaldo externo. ...................................................................................... 4
5.1.2 Plan de backups y equipos de respaldo ....................................................................... 4
5.1.3 Procedimiento para efectuar los backups. .................................................................. 5
5.1.4 Centro de Cómputo Alterno. ........................................................................................ 7
6. PLAN DE CONTINGENCIA ........................................................................................................... 7
7. ACTIVIDADES POSTERIORES AL DESASTRE ................................................................................ 9
8. CRITERIOS Y PROCEDIMIENTOS DE PRUEBA DEL PLAN:............................................................ 9
9. APROBACIÓN ............................................................................................................................. 9
10. BIBLIOGRAFIA ........................................................................................................................ 10
1. INTRODUCCIÓN
El plan de configuración y recuperación ante desastres, es una herramienta casi tan importante
como la construcción de la base de datos. El éxito de una organización se encuentra en el
balance perfecto entre la planeación, ejecución, minimización de riesgos y mitigación de los
mismos.

Realizar la configuración adecuada del SMBD es un paso fundamental cuando se busca la


creación de la base de datos que manejará la Alcaldía. Una erada configuración puede llevar a
la ocurrencia de errores catastróficos como la perdida de información o la imposibilidad de
recuperarse ante un desastre.

Por ello, tener claro cómo se debe reaccionar ante una emergencia se constituye en la llave
maestra ante la perduración de los datos en el tiempo y por ende, la garantía de la información
almacenada.

Todo Sistema de Redes de Computadoras (ordenadores, periféricos y accesorios) están


expuestos a riesgo y puede ser frente fuente de problemas. El Hardware, el Software están
expuestos a diversos Factores de Riesgo Humano y Físicos.

Frente a cualquier evento, la celeridad en la determinación de la gravedad del problema depende


de la capacidad y la estrategia a seguir para señalar con precisión, por ejemplo: ¿Qué
componente ha fallado?, ¿Cuál es el dato o archivo con información se ha perdido, en que día y
hora se ha producido y cuán rápido se descubrió? Estos problemas menores y mayores sirven
para retroalimentar nuestros procedimientos y planes de seguridad en la información.

Pueden originarse pérdidas catastróficas a partir de fallos de componentes críticos (el disco
duro), bien por grandes desastres (incendios, terremotos, sabotaje, etc.) o por fallas técnicas
(errores humanos, virus informático, etc.) que producen daño físico irreparable. Frente al mayor
de los desastres solo queda el tiempo de recuperación, lo que significa adicionalmente la fuerte
inversión en recursos humanos y técnicos para reconstruir su Sistema de Red y su Sistema de
Información.

2. OBJETIVOS
Elabora el plan de respaldo de la información de acuerdo con los lineamientos establecidos y las
características de la organización.

3. ALCANCE
El plan comienza con la identificación de riesgos y vulnerabilidades y termina con el
establecimiento de las políticas de seguridad.

Para el desarrollo del plan se han identificado tres grandes fases, como lo son la fase de
mitigación, emergencias y recuperación.
4. IDENTIFICACIÓN Y ANALISIS DE RIESGOS
Para el análisis de riesgo se ha evaluado el impacto por interrupción de servicio, estimando las
pérdidas que involucraría la interrupción parcial o total del funcionamiento de la Alcaldía de San
Antonio del SENA.

4.1 Riesgos con incidencia externa


Se contemplan los riesgos por cabios de normatividad, ya sean a nivel nacional, departamental
o municipal, los cuales puedan incidir en un cambio inmediato del funcionamiento del SIASAS1.

4.2 Riesgos con incidencia interna


4.2.1 Incumplimiento de contratista: este riesgo puede ocurrir cuando alguno de los
contratistas firmados para implementación del SIASAS o de las actividades propias del área de
sistemas responsable del manejo tanto de las plataformas como de las actividades de
mantenimiento y seguridad de la información.

4.2.2 Posibles retrasos en procesos administrativos: Al implementar procesos tecnológicos,


es frecuente que se incurra en retrasos de los procesos administrativos mientras los usuarios se
acomodan al uso de los sistemas, razón por la cual se deben implementar estrategias que no
imposibiliten la continua prestación del servicio.

4.2.3 Contratación sin asistencia técnica, Soluciones Inadecuadas o Incompatibilidad frente a


los Requerimientos y Recursos Disponibles: Se relaciona con deficientes procesos de análisis,
evaluación, planeación y toma de decisiones sobre la elección de las alternativas tecnológicas a
ser implementadas, y con el probable desconocimiento de las características y especificaciones
técnicas de los recursos disponibles y las necesarias en cada una de las soluciones elegidas, de
manera compatible.

4.2.4 Posible pérdida de información: La idea del presente plan de contingencias es que este
riesgo tenga baja probabilidad de ocurrencia, efectuado copias de seguridad de todo tipo de
archivos que se desarrollen en la entidad.

4.2.5 Posible falla de equipos electrónicos y Hardware fuera de inventario: Este riesgo se
presenta por la Falta de Previsión, con la no inclusión de soluciones para aspectos de baja
prioridad o al excluir elementos de los inventarios, por desconocimiento o por no haber sido
reportados a tiempo al área de sistemas.

4.2.6 Posibles Fallas en el Flujo de Energía Eléctrica: Este riesgo está relacionado con
amenazas externas al control de la Entidad. Sin embargo, se han implementado equipos para la
mitigación del riesgo de corte temporal de energía eléctrica. Para tiempos mayores a una (1)
hora que es lo soportado por los equipos adquiridos2 se debe acudir a procesos manuales
establecidos como contingencia hasta tanto se solucione la falla.

4.2.7 Posible calentamiento de la Sala de Computo: como se explicó en la PROPUESTA


ARQUITECTURA TECNOLÓGICA SAN ANTONIO DEL SENA, “…Los servidores se ubicarán
en una sala independiente a la cual sólo tendrá acceso personal autorizado que tenga que ver
con su mantenimiento y/o vigilancia, buscando mantener las condiciones ambientales para no
generar aumentos de temperatura repentina que obliguen la activación de fuentes externas para
mantener la temperatura y humedad en la sala y a su vez, buscando garantizar al máximo la

1
SIASAS se refiere de acuerdo mi entrega AA2-4: PLAN DE CONFIGURACIÓN Y RECUPERACIÓN ANTE
DESASTRES PARA EL SMBD, SISTEMA DE INFORMACIÒN DE LA ALCALDIA DE SAN ANTONIO DEL SENA
2
criterios_seleccion_equipos_evid2aa1- MA. FERNANDA ALVAREZ G.
seguridad y estabilidad de la información de la alcaldía y por ende de San Antonio del Sena…”
sin embargo, aunque la probabilidad de ocurrencia es baja, este riesgo debe ser de igual manera
contemplado.

Es de vital importancia tener en cuenta los equipos con los que se cuenta en la entidad:

EQUIPO CANTIDAD CARACTERÍSTICAS


Rack 1 Debe soportar los switches
Switch 7
Servidores 7
Access point 10
Computadores 48 Windows 8.1, Memoria RAM de 4 GB, Core i7, 1
Tera en disco duro.
Computadores 95 Windows 8.1, Memoria RAM de 4 GB, Core i7, 1
Tera en disco duro, tarjeta inalámbrica de red.
Computadores 3 Equipos Touchscreen
Impresoras 17 Impresora Multifuncional (Scanner, fax,
fotocopiadora) inalámbrica y envió de correos
Impresoras 2 Impresoras de punto.
Impresoras 4 Impresoras láser.
UPS 9
Tabla 1 Tomada de la entrega AA2-2

5. PLAN DE MITIGACIÓN

En el plan de mitigación se contemplaran la frecuencia de copias de seguridad y los tipos de las


mismas

5.1 Proceso de respaldo


Por medio de este proceso, la Alcaldía de San Antonio del SENA asegura la conservación de la
información y determinara donde se realizarán los trabajos críticos de procesamiento de datos
en caso de falta o falla de sus equipos.

Para ello, se han incluido los 5 principales componente de un sistema de información:

 Los datos
 La documentación
 Los programas (software)
 Los procedimientos
 Los equipos (hardware)

5.1.1 Proceso de respaldo externo.


Como sitio de respaldo externo se entiende una instalación diferente a la sede principal de la
entidad donde se almacena una copia de los archivos de backups de la entidad, para que ante
cualquier eventualidad que se presente en la sede principal se pueda reiniciar labores con los
archivos almacenados en el sitio de respaldo externo. Este lugar será establecido luego de la
contratación de espacios propios de la Alcaldía de San Antonio del SENA.

5.1.2 Plan de backups y equipos de respaldo:


Estos backups deberán ser ejecutados por el coordinador del área de sistemas y algunos
funcionarios con que cuenten con usuario con privilegio para realizar las copias de seguridad.
5.1.2.1 Definición de Niveles de Backup

Los niveles de backup que se han establecido como política en Área de Sistemas son los
siguientes:

ANUAL: Debe realizarse al final de cada año (último día del año), es un backup total en cintas
que se guardan indefinidamente.

SEMESTRAL: Debe realizarse al final de cada semestre un backup total (último día de cada
semestre exceptuando el último día del año). Estas cintas se pueden denominar semestre1,
semestre2 y se reutilizan anualmente.

MENSUAL: Debe realizarse al final de cada mes un backup total (último día de cada mes
exceptuando el último día del año). Estas cintas se pueden denominar mes1, mes2, mes3,….
mes12 y se reutilizan anualmente.

SEMANAL: Se debe realizar al final de la semana (último día de la semana), es un backup total
en cintas. Estas cintas se pueden denominar semana1,….semana4 y se reutilizan
mensualmente.

DIARIO: Se debe realizar al final del día, es un backup total de la información diaria en cintas
independientes. Estas cintas se pueden denominar lunes, martes, miércoles y jueves y se
reutilizan semanalmente.

EN LINEA: Este backup se hace siempre y cuando se posea la infraestructura para copiar los
archivos o directorios considerados como información vital al disco duro de un servidor remoto.

5.1.3 Procedimiento para efectuar los backups.


Para ello se implementará un procedimiento en el Sistema Integrado de Gestión, el cual deberá
ser proyectado por el enlace de la OCI en el área de sistemas y aprobado por el Coordinador del
área y el Coordinador del OCI.

Se deberá incluir como mínimo la siguiente información y se deberá nombrar un Coordinador de


Contingencia:

Backup base de datos en servidores

No Responsable Actividad Registro


1 Profesional Determina de acuerdo a la periodicidad
Centro establecida si el backup a realizar es diario,
de Cómputo semanal, mensual o semestral
Verifica en la Planilla de Control de Backups el Planilla de
número de la unidad de almacenamiento Control de
correspondiente y registra la fecha de Backups
ejecución.
Selecciona en la unidad correspondiente y
prepara en el servidor (el) (los) archivo(s) a
respaldar.
Ejecuta la acción adecuada para respaldar
(el)(los) archivo(s).
Finalizada la copia de (el)(los) archivo(s) se
regresa la unidad a su lugar de origen.

Backup semestral de información institucional

No Responsable Actividad Registro


2 Coordinador Envía memorando al Contralor, Contralor Memorando
Área de Auxiliar, Directores Técnicos , Jefes de
Informática Oficinas Asesoras y Grupo de Actuaciones
Especiales informando acerca del backup
semestral de información institucional,
indicando que se debe recopilar en un equipo
con suficiente espacio en disco duro dentro
de un directorio conformado por las iniciales
DT seguido del código de la dependencia
(DT#####) y que se encuentre conectado a la
red.
3 Alcalde, Solicita a todos sus funcionarios que
Secretarios, seleccionen los archivos que ameriten ser
Directores conservados en copia de seguridad, en su
Técnicos, última versión y preferiblemente establecer
Coordinadores, nombres cortos, combinado con fechas para
Jefe de OCI. definir los nombres de estos.
Asigna un funcionario para que realice la
compilación de los archivos en el equipo
seleccionado.
4 Profesional y/o Diseña en el computador seleccionado y dentro
técnico de la del directorio DT##### la estructura con los
Dependencia subdirectorios contenidos y copia en ella los
archivos relevantes de la dependencia.
5 Alcalde, Envía al Área de sistemas memorando Memorando
Secretarios, informando que el directorio asignado para
Directores incluir los archivos que ameriten mantenerse en
Técnicos, backup se encuentra conformado donde se
Coordinadores, indique:
Jefe de OCI. - Nombre y código de la Dependencia
- Nombre del responsable del backup en la
Dependencia
- Ubicación e identificación en la red del
computador que contiene la información
- Nombre del directorio principal
- Estructura gráfica del directorio principal
completa.
6 Profesional Ubica a través de la red el directorio principal de
Centro de cada una de las dependencias y procede a
Cómputo copiar la información en un servidor del Centro
de Cómputo asignado para tal fin.

Registra la acción realizada en la planilla de


control de backup institucional. Una vez
centralizada toda la información en el servidor
procede a copiar todos los datos en las
unidades de almacenamiento (datacartridge)
debidamente identificadas con el contenido de
su información, la primera de ellas con destino
al archivo del Centro de Cómputo y la otra para
el centro alterno.

Recuperación de información institucional

No Responsable Actividad Registro


7 Alcalde, Envía memorando al Área de Sistemas Memorando
Secretarios, solicitando la recuperación de un backup o
Directores parte de este, indicando la fecha y ubicación de
Técnicos,
Coordinadores, la información en la estructura de directorios de
Jefe de OCI. la respectiva dependencia.
8 Coordinador Asigna profesional del Centro de Cómputo para
Área de realizar la tarea correspondiente
Sistemas
9 Profesional Ubica el datacarridge correspondiente y
Centro de restaura la información en el disco duro del
Cómputo servidor para luego enviarla vía red a la
dependencia solicitante.
Proyecta respuesta para la firma del coordinador
del Área de Sistemas, informando fecha y
ubicación donde fueron restaurados los datos
solicitados.

5.1.4 Centro de Cómputo Alterno.


Como se explicó en el numeral 5.1.1, la Alcaldía de San Antonio del SENA, al no contar con un
centro alterno donde se pueda localizar este espacio, deberá contemplar la adquisición de este
lugar, no solo para preservar la información en un lugar distinto al edificio principal que pueda
servir de respaldo en caso de incidentes naturales o incendios, sino también para poder aislar la
información en caso de ataques cibernéticos, etc. Este centro de cómputo deberá contar con un
coordinador y personal capacitado en Tecnologías de información, base de datos y oficial de
seguridad de la información.

6. PLAN DE CONTINGENCIA
En el momento en que se presente la emergencia, los grupos de trabajo deben iniciar y seguir
los siguientes pasos.
RECURSO
PASO ACCION DURACION RESPONSBLE
NECESARIO
Reporte de la falla al
funcionario encargado de
los sistemas, que pertenece Teléfono. Reporte
1 Inmediato Usuario
a la dependencia y que de Errores
hace parte del grupo de
desarrollo.
Inhabilitar el uso del equipo
o equipos que utilizan dicha
Listado de usuarios, Inmediato,
aplicación y advertencia a Funcionario Encargado
2 medio de Máximo 15
los usuarios para no de la Dependencia
comunicación. minutos
desarrollar ninguna
actividad relacionada.
Reporte de la falla a la línea Inmediato,
Teléfono. Reporte de Funcionario Encargado
3 de Atención a Máximo 30
Errores de la Dependencia
Usuarios minutos
Máximo 30
minutos,
Medio de Ingeniero del Grupo de
dependiendo
Dirigirse a la dependencia transporte, Desarrollo y Técnico
del lugar donde
4 en donde se ha presentado reporte de errores, de Soporte encargados
se
la falla orden de de la vigilancia y
halla
servicio soporte del SIASAS
presentado
la falla
Fuentes, Dependiendo
Ingeniero del Grupo de
documentación del
Desarrollo,
Identificación, diagnóstico y soporte de la nivel de
Funcionario delegado
5 Análisis de las fallas y su aplicación, equipo criticidad de la
en la dependencia y
alcance. de soporte y pruebas falla (alta,
Técnico de Soporte
(herramientas y media,
encargados de la
medios baja), pero no
magnéticos) mayor de 1 hora vigilancia y soporte del
SIASAS

Inmediatamente
se haya
Teléfono y terminado el
Reporte al Coordinador documento de diagnóstico
6 del Plan de Contingencias diagnóstico de la respectivo, Ingeniero del Grupo
falla máximo 15
minutos
después.

Notificación al Comité
Directivo de la Situación, Teléfono, Plan de
para que ellos tomen la Contingencias y Inmediato,
Coordinador del Plan de
7 decisión de liberar y poner documento de máximo 15
Contingencias.
en ejecución el Plan de diagnóstico de la minutos.
Contingencias, si así lo falla.
amerita.
Si se pone en marcha el
Plan de Contingencias, el
Teléfono, Plan de
coordinador debe identificar
Contingencias y
el área o áreas afectadas Entre 15 y 30 Coordinador del Plan de
8 documento de
con el fin de notificar al minutos Contingencias.
diagnóstico de la
personal encargado de las
falla.
mismas, para llevar a cabo
las actividades del Plan.
Coordinador Centro de
Inventarios, Plan de
Computo,
Contingencias,
Coordinador Grupo
documento de El mínimo
Línea de atención a
Localizar los recursos diagnóstico de la dependiendo de
usuarios, Ingeniero del
necesarios para dar inicio al falla, último backup, la ubicación de
9 Grupo de Desarrollo y
Plan relacionado con el manuales de usuario los recursos
Técnico de Soporte
área afectada y técnico de la necesarios.
encargados de la
aplicación afectada. Máximo 1 hora.
vigilancia y soporte del
Medios magnéticos
SIASAS
necesarios.
El mínimo Ingeniero del Grupo de
Implementar la solución y dependiendo de Desarrollo,
ejecutar las actividades la complejidad Funcionario delegado
Recursos necesarios
establecidas en el Plan de en la dependencia y
10 localizados en la
para mantener la la solución. No Técnico de Soporte
actividad 9.
continuidad del proceso debe ser mayor encargados de la
afectado. a vigilancia y soporte del
5 horas. SIASAS
Reportar al Coordinador del Reporte de las
Plan de Contingencias, la actividades Ingeniero del Grupo de
conclusión de las realizadas, Entre 15 y 30 Desarrollo encargado
11
actividades previstas y la debidamente firmada minutos. de la vigilancia y
puesta en marcha de la por el usuario, como soporte del SIASAS
solución. recibo a satisfacción.
Monitorear el correcto
Funcionario delegado
funcionamiento de la Observación
en la dependencia
solución implementada, con Documentación del permanente,
12 encargado de la
el fin de avisar cualquier proceso afectado. mientras dure la
vigilancia y soporte del
anomalía al Área de contingencia
SIASAS
Sistemas.
Iniciar las acciones
No mayor a un
pertinentes para el Ingeniero del Grupo de
(1) mes
restablecimiento del Plan de Desarrollo,
dependiendo
proceso normal (ubicar al Contingencias. Funcionario delegado
del
13 proveedor, hacer efectivas Documentación en la dependencia,
nivel de
pólizas, hacer soporte soporte del proceso. encargados de la
criticidad del
correctivo, contratar nuevas vigilancia y soporte del
proceso
soluciones, etc., según SIASAS
afectado.
convenga o este planeado).
7. ACTIVIDADES POSTERIORES AL DESASTRE

 Realice una documentación completa del desastre y la acción realizada para


reestablecer el orden.
 Se deberán realizar pruebas de recuperación de los respaldos, a lo menos una vez por
semestre. Estas pruebas consistirán en la restauración de los sistemas que
correspondan, a partir de su respaldo, y deberán quedar debidamente
documentadas. En caso de presentarse problemas durante las pruebas, se deberán
implementar las medidas correspondientes para prevenir su ocurrencia en el futuro.
 Mensualmente, se deberá generar un reporte de incidentes, con objeto de identificar
categorías de incidentes más reportados , para luego tomar las medidas que
correspondan para prevenirlos.

8. CRITERIOS Y PROCEDIMIENTOS DE PRUEBA DEL PLAN:

Las pruebas de recuperación de desastres ayudan a garantizar que una organización podrá
recuperar datos, aplicaciones críticas de negocio y continuar con su funcionamiento después de
una interrupción de los servicios. La función principal de una prueba de DR es evaluar
plenamente la continuidad de los procesos y los planes de recuperación de desastres. El proceso
de prueba le permite a la entidad llevar a cabo el plan de mantenimiento y capacitar al personal
sobre los procedimientos de recuperación de desastres.

Las pruebas de recuperación de desastres deben realizarse de modo regular. Las


comunicaciones, la recuperación de datos y la recuperación de aplicaciones suelen ser los ejes
de todas las pruebas de recuperación de desastres. Los demás sectores para estas pruebas
pueden variar, dependiendo de los objetivos de la organización sobre el punto de recuperación
(RPO) y el tiempo de recuperación (RTO).

9. APROBACIÓN
Luego probar el plan y aplicar las correcciones pertinentes, el alcalde deberá exponerlo y luego
aprobarlo. Él y sus asesores son los encargados de establecer los procedimientos y
responsabilidades en caso de alguna eventualidad y de actualizar y dar el aval al plan cada año.

Este plan se debe considerar fundamental a la hora de asegurar la información ante un desastre,
si bien es cierto que requiere una gran cantidad de recursos y a pesar de que requiere una
cantidad considerable de recursos y trabajo, se convierte en una herramienta de gran relevancia
para el ente gubernamental.
10. BIBLIOGRAFIA
Maza Anton, Gina Lizbeth, PLAN DE CONTINGENCIA informático Y SEGURIDAD DE
INFORMACION 2009, aplicado en la UNIVERSIDAD NACIONAL DE PIURA.

PROCEDIMIENTOS DE SEGURIDAD DE LA INFORMACIÓN. Superintendencia del Medio


Ambiente. Gobierno de Chile.

Bases de datos, [en línea], disponible en:


http://www.iuma.ulpgc.es/users/lhdez/inves/pfcs/memoria-ivan/node7.html

Disponibilidad y recuperación ante desastres [en línea], Disponible en:


https://msdn.microsoft.com/es-es/library/dn741215(v=sql.120).aspx

Planeación y recuperación ante desastres [en línea], Disponible en:


https://technet.microsoft.com/es-es/library/ms178128(v=sql.105).aspx

Plan de Contingencias Contraloría de Bogotá D.C.