29 DE ABRIL DE 2018
AA6-EV1-PLAN DE RESPALDO PARA LAS SECRETARÍAS DE GOBIERNO Y HACIENDA DE SAN ANTONIO DEL SENA PRESENTADO POR: MA. FERNANDA ALVAREZ GALLARDO TUTOR: ANDRÉS FELIPE PARRA MARTÍNEZ SENA – ESPECIALIZACIÓN TECNOLOGICA EN GESTIÓN Y SEGURIDAD DE BASES DE DATOS
Contenido 1. INTRODUCCIÓN ......................................................................................................................... 2 2. OBJETIVOS ................................................................................................................................. 2 3. ALCANCE .................................................................................................................................... 2 4. IDENTIFICACIÓN Y ANALISIS DE RIESGOS .................................................................................. 3 4.1 Riesgos con incidencia externa ........................................................................................... 3 4.2 Riesgos con incidencia interna ............................................................................................ 3 4.2.1 Incumplimiento de contratista ..................................................................................... 3 4.2.2 Posibles retrasos en procesos administrativos: ........................................................... 3 4.2.3 Contratación sin asistencia técnica .............................................................................. 3 4.2.4 Posible pérdida de información: .................................................................................. 3 4.2.5 Posible falla de equipos electrónicos y Hardware fuera de inventario: ...................... 3 4.2.6 Posibles Fallas en el Flujo de Energía Eléctrica: ........................................................... 3 4.2.7 Posible calentamiento de la Sala de Computo:............................................................ 3 5. PLAN DE MITIGACIÓN ............................................................................................................... 4 5.1 Proceso de respaldo ............................................................................................................ 4 5.1.1 Proceso de respaldo externo. ...................................................................................... 4 5.1.2 Plan de backups y equipos de respaldo ....................................................................... 4 5.1.3 Procedimiento para efectuar los backups. .................................................................. 5 5.1.4 Centro de Cómputo Alterno. ........................................................................................ 7 6. PLAN DE CONTINGENCIA ........................................................................................................... 7 7. ACTIVIDADES POSTERIORES AL DESASTRE ................................................................................ 9 8. CRITERIOS Y PROCEDIMIENTOS DE PRUEBA DEL PLAN:............................................................ 9 9. APROBACIÓN ............................................................................................................................. 9 10. BIBLIOGRAFIA ........................................................................................................................ 10
1. INTRODUCCIÓN El plan de configuración y recuperación ante desastres, es una herramienta casi tan importante como la construcción de la base de datos. El éxito de una organización se encuentra en el balance perfecto entre la planeación, ejecución, minimización de riesgos y mitigación de los mismos. Realizar la configuración adecuada del SMBD es un paso fundamental cuando se busca la creación de la base de datos que manejará la Alcaldía. Una erada configuración puede llevar a la ocurrencia de errores catastróficos como la perdida de información o la imposibilidad de recuperarse ante un desastre. Por ello, tener claro cómo se debe reaccionar ante una emergencia se constituye en la llave maestra ante la perduración de los datos en el tiempo y por ende, la garantía de la información almacenada. Todo Sistema de Redes de Computadoras (ordenadores, periféricos y accesorios) están expuestos a riesgo y puede ser frente fuente de problemas. El Hardware, el Software están expuestos a diversos Factores de Riesgo Humano y Físicos. Frente a cualquier evento, la celeridad en la determinación de la gravedad del problema depende de la capacidad y la estrategia a seguir para señalar con precisión, por ejemplo: ¿Qué componente ha fallado?, ¿Cuál es el dato o archivo con información se ha perdido, en que día y hora se ha producido y cuán rápido se descubrió? Estos problemas menores y mayores sirven para retroalimentar nuestros procedimientos y planes de seguridad en la información. Pueden originarse pérdidas catastróficas a partir de fallos de componentes críticos (el disco duro), bien por grandes desastres (incendios, terremotos, sabotaje, etc.) o por fallas técnicas (errores humanos, virus informático, etc.) que producen daño físico irreparable. Frente al mayor de los desastres solo queda el tiempo de recuperación, lo que significa adicionalmente la fuerte inversión en recursos humanos y técnicos para reconstruir su Sistema de Red y su Sistema de Información.
2. OBJETIVOS Elabora el plan de respaldo de la información de acuerdo con los lineamientos establecidos y las características de la organización.
3. ALCANCE El plan comienza con la identificación de riesgos y vulnerabilidades y termina con el establecimiento de las políticas de seguridad. Para el desarrollo del plan se han identificado tres grandes fases, como lo son la fase de mitigación, emergencias y recuperación.
4. IDENTIFICACIÓN Y ANALISIS DE RIESGOS Para el análisis de riesgo se ha evaluado el impacto por interrupción de servicio, estimando las pérdidas que involucraría la interrupción parcial o total del funcionamiento de la Alcaldía de San Antonio del SENA.
4.1 Riesgos con incidencia externa Se contemplan los riesgos por cabios de normatividad, ya sean a nivel nacional, departamental o municipal, los cuales puedan incidir en un cambio inmediato del funcionamiento del SIASAS 1.
4.2 Riesgos con incidencia interna 4.2.1 Incumplimiento de contratista : este riesgo puede ocurrir cuando alguno de los contratistas firmados para implementación del SIASAS o de las actividades propias del área de sistemas responsable del manejo tanto de las plataformas como de las actividades de mantenimiento y seguridad de la información.
4.2.2 Posibles retrasos en procesos administrativos: Al implementar procesos tecnológicos, es frecuente que se incurra en retrasos de los procesos administrativos mientras los usuarios se acomodan al uso de los sistemas, razón por la cual se deben implementar estrategias que no imposibiliten la continua prestación del servicio.
4.2.3 Contratación sin asistencia técnica, Soluciones Inadecuadas o Incompatibilidad frente a los Requerimientos y Recursos Disponibles: Se relaciona con deficientes procesos de análisis, evaluación, planeación y toma de decisiones sobre la elección de las alternativas tecnológicas a ser implementadas, y con el probable desconocimiento de las características y especificaciones técnicas de los recursos disponibles y las necesarias en cada una de las soluciones elegidas, de manera compatible.
4.2.4 Posible pérdida de información: La idea del presente plan de contingencias es que este riesgo tenga baja probabilidad de ocurrencia, efectuado copias de seguridad de todo tipo de archivos que se desarrollen en la entidad.
4.2.5 Posible falla de equipos electrónicos y Hardware fuera de inventario: Este riesgo se presenta por la Falta de Previsión, con la no inclusión de soluciones para aspectos de baja prioridad o al excluir elementos de los inventarios, por desconocimiento o por no haber sido reportados a tiempo al área de sistemas.
4.2.6 Posibles Fallas en el Flujo de Energía Eléctrica: Este riesgo está relacionado con amenazas externas al control de la Entidad. Sin embargo, se han implementado equipos para la mitigación del riesgo de corte temporal de energía eléctrica. Para tiempos mayores a una (1) hora que es lo soportado por los equipos adquiridos 2 se debe acudir a procesos manuales establecidos como contingencia hasta tanto se solucione la falla.
4.2.7 Posible calentamiento de la Sala de Computo: como se explicó en la PROPUESTA ARQUITECTURA TECNOLÓGIC A SAN ANTONIO DEL SENA, “…Los servidores se ubicarán en una sala independiente a la cual sólo tendrá acceso personal autorizado que tenga que ver con su mantenimiento y/o vigilancia, buscando mantener las condiciones ambientales para no generar aumentos de temperatura repentina que obliguen la activación de fuentes externas para mantener la temperatura y humedad en la sala y a su vez, buscando garantizar al máximo la 1
SIASAS se refiere de acuerdo mi entrega AA2-4: PLAN DE CONFIGURACIÓN Y RECUPERACIÓN ANTE DESASTRES PARA EL SMBD, SISTEMA DE INFORMACIÒN DE LA ALCALDIA DE SAN ANTONIO DEL SENA 2 criterios_seleccion_equipos_evid2aa1- MA. FERNANDA ALVAREZ G.
seguridad y estabilidad de la información de la alcaldía y por ende de San Antonio del Sena …” sin embargo, aunque la probabilidad de ocurrencia es baja, este riesgo debe ser de igual manera contemplado. Es de vital importancia tener en cuenta los equipos con los que se cuenta en la entidad: EQUIPO Rack Switch Servidores Access point Computadores Computadores Computadores Impresoras Impresoras Impresoras UPS
CANTIDAD CARACTERÍSTICAS 1 Debe soportar los switches 7 7 10 48 Windows 8.1, Memoria RAM de 4 GB, Core i7, 1 Tera en disco duro. 95 Windows 8.1, Memoria RAM de 4 GB, Core i7, 1 Tera en disco duro, tarjeta inalámbrica de red. 3 Equipos Touchscreen 17 Impresora Multifuncional (Scanner, fax, fotocopiadora) inalámbrica y envió de correos 2 Impresoras de punto. 4 Impresoras láser. 9
Tabla 1 Tomada de la entrega AA2-2
5. PLAN DE MITIGACIÓN En el plan de mitigación se contemplaran la frecuencia de copias de seguridad y los tipos de las mismas
5.1 Proceso de respaldo Por medio de este proceso, la Alcaldía de San Antonio del SENA asegura la conservación de la información y determinara donde se realizarán los trabajos críticos de procesamiento de datos en caso de falta o falla de sus equipos. Para ello, se han incluido los 5 principales componente de un sistema de información:
Los datos La documentación Los programas (software) Los procedimientos Los equipos (hardware)
5.1.1 Proceso de respaldo externo. Como sitio de respaldo externo se entiende una instalación diferente a la sede principal de la entidad donde se almacena una copia de los archivos de backups de la entidad, para que ante cualquier eventualidad que se presente en la sede principal se pueda reiniciar labores con los archivos almacenados en el sitio de respaldo externo. Este lugar será establecido luego de la contratación de espacios propios de la Alcaldía de San Antonio del SENA.
5.1.2 Plan de backups y equipos de respaldo : Estos backups deberán ser ejecutados por el coordinador del área de sistemas y algunos funcionarios con que cuenten con usuario con privilegio para realizar las copias de seguridad.
5.1.2.1DefinicióndeNivelesdeBackup
Los niveles de backup que se han establecido como política en Área de Sistemas son los siguientes: ANUAL: Debe realizarse al final de cada año (último día del año), es un backup total en cintas que se guardan indefinidamente. SEMESTRAL: Debe realizarse al final de cada semestre un backup total (último día de cada semestre exceptuando el último día del año). Estas cintas se pueden denominar semestre1, semestre2 y se reutilizan anualmente. MENSUAL: Debe realizarse al final de cada mes un backup total (último día de cada mes exceptuando el último día del año). Estas cintas se pueden denominar mes1, mes2, mes3,….
mes12 y se reutilizan anualmente. SEMANAL: Se debe realizar al final de la semana (último día de la semana), es un backup total en cintas. Estas cintas se pueden denominar semana1,….semana4 y se reutilizan
mensualmente. DIARIO: Se debe realizar al final del día, es un backup total de la información diaria en cintas independientes. Estas cintas se pueden denominar lunes, martes, miércoles y jueves y se reutilizan semanalmente. EN LINEA: Este backup se hace siempre y cuando se posea la infraestructura para copiar los archivos o directorios considerados como información vital al disco duro de un servidor remoto.
5.1.3 Procedimiento para efectuar los backups. Para ello se implementará un procedimiento en el Sistema Integrado de Gestión, el cual deberá ser proyectado por el enlace de la OCI en el área de sistemas y aprobado por el Coordinador del área y el Coordinador del OCI. Se deberá incluir como mínimo la siguiente información y se deberá nombrar un Coordinador de Contingencia: Backup base de datos en servidores No 1
Responsable Profesional Centro de Cómputo
Actividad Determina de acuerdo a la periodicidad establecida si el backup a realizar es diario, semanal, mensual o semestral Verifica en la Planilla de Control de Backups el número de la unidad de almacenamiento correspondiente y registra la fecha de ejecución. Selecciona en la unidad correspondiente y prepara en el servidor (el) (los) archivo(s) a respaldar. Ejecuta la acción adecuada para respaldar (el)(los) archivo(s). Finalizada la copia de (el)(los) archivo(s) se regresa la unidad a su lugar de origen.
Registro
Planilla de Control de Backups
Backup semestral de información institucional No
Responsable
Actividad
Registro
2
3
4
5
6
Coordinador Área de Informática
Envía memorando al Contralor, Contralor Auxiliar, Directores Técnicos , Jefes de Oficinas Asesoras y Grupo de Actuaciones Especiales informando acerca del backup semestral de información institucional, indicando que se debe recopilar en un equipo con suficiente espacio en disco duro dentro de un directorio conformado por las iniciales DT seguido del código de la dependencia (DT#####) y que se encuentre conectado a la red. Alcalde, Solicita a todos sus funcionarios que Secretarios, seleccionen los archivos que ameriten ser Directores conservados en copia de seguridad, en su Técnicos, última versión y preferiblemente establecer Coordinadores, nombres cortos, combinado con fechas para Jefe de OCI. definir los nombres de estos. Asigna un funcionario para que realice la compilación de los archivos en el equipo seleccionado. Profesional y/o Diseña en el computador seleccionado y dentro técnico de la del directorio DT##### la estructura con los Dependencia subdirectorios contenidos y copia en ella los archivos relevantes de la dependencia. Alcalde, Envía al Área de sistemas memorando Secretarios, informando que el directorio asignado para Directores incluir los archivos que ameriten mantenerse en Técnicos, backup se encuentra conformado donde se Coordinadores, indique: Jefe de OCI. - Nombre y código de la Dependencia - Nombre del responsable del backup en la Dependencia - Ubicación e identificación en la red del computador que contiene la información - Nombre del directorio principal - Estructura gráfica del directorio principal completa. Profesional Ubica a través de la red el directorio principal de Centro de cada una de las dependencias y procede a Cómputo copiar la información en un servidor del Centro de Cómputo asignado para tal fin.
Memorando
Memorando
Registra la acción realizada en la planilla de control de backup institucional. Una vez centralizada toda la información en el servidor procede a copiar todos los datos en las unidades de almacenamiento (datacartridge) debidamente identificadas con el contenido de su información, la primera de ellas con destino al archivo del Centro de Cómputo y la otra para el centro alterno. Recuperación de información institucional No 7
Responsable Alcalde, Secretarios, Directores Técnicos,
Actividad Envía memorando al Área de Sistemas solicitando la recuperación de un backup o parte de este, indicando la fecha y ubicación de
Registro Memorando
8 9
Coordinadores, la información en la estructura de directorios de Jefe de OCI. la respectiva dependencia. Coordinador Asigna profesional del Centro de Cómputo para Área de realizar la tarea correspondiente Sistemas Profesional Ubica el datacarridge correspondiente y Centro de restaura la información en el disco duro del Cómputo servidor para luego enviarla vía red a la dependencia solicitante. Proyecta respuesta para la firma del coordinador del Área de Sistemas, informando fecha y ubicación donde fueron restaurados los datos solicitados.
5.1.4 Centro de Cómputo Alterno. Como se explicó en el numeral 5.1.1, la Alcaldía de San Antonio del SENA, al no contar con un centro alterno donde se pueda localizar este espacio, deberá contemplar la adquisición de este lugar, no solo para preservar la información en un lugar distinto al edificio principal que pueda servir de respaldo en caso de incidentes naturales o incendios, sino también para poder aislar la información en caso de ataques cibernéticos, etc. Este centro de cómputo deberá contar con un coordinador y personal capacitado en Tecnologías de información, base de datos y oficial de seguridad de la información.
6. PLAN DE CONTINGENCIA En el momento en que se presente la emergencia, los grupos de trabajo deben iniciar y seguir los siguientes pasos. PASO
1
2
3
4
5
ACCION Reporte de la falla al funcionario encargado de los sistemas, que pertenece a la dependencia y que hace parte del grupo de desarrollo. Inhabilitar el uso del equipo o equipos que utilizan dicha aplicación y advertencia a los usuarios para no desarrollar ninguna actividad relacionada. Reporte de la falla a la línea de Atención a Usuarios
RECURSO NECESARIO
DURACION
RESPONSBLE
Teléfono. Reporte de Errores
Inmediato
Usuario
Listado de usuarios, medio de comunicación.
Inmediato, Máximo 15 minutos
Funcionario Encargado de la Dependencia
Teléfono. Reporte de Errores
Dirigirse a la dependencia en donde se ha presentado la falla
Medio de transporte, reporte de errores, orden de servicio
Identificación, diagnóstico y Análisis de las fallas y su alcance.
Fuentes, documentación soporte de la aplicación, equipo de soporte y pruebas (herramientas y medios
Inmediato, Máximo 30 minutos Máximo 30 minutos, dependiendo del lugar donde se halla presentado la falla Dependiendo del nivel de criticidad de la falla (alta, media, baja), pero no
Funcionario Encargado de la Dependencia Ingeniero del Grupo de Desarrollo y Técnico de Soporte encargados de la vigilancia y soporte del SIASAS Ingeniero del Grupo de Desarrollo, Funcionario delegado en la dependencia y Técnico de Soporte encargados de la
magnéticos)
6
7
8
Reporte al Coordinador del Plan de Contingencias
Notificación al Comité Directivo de la Situación, para que ellos tomen la decisión de liberar y poner en ejecución el Plan de Contingencias, si así lo amerita. Si se pone en marcha el Plan de Contingencias, el coordinador debe identificar el área o áreas afectadas con el fin de notificar al personal encargado de las mismas, para llevar a cabo las actividades del Plan.
9
Localizar los recursos necesarios para dar inicio al Plan relacionado con el área afectada
10
Implementar la solución y ejecutar las actividades establecidas en el Plan para mantener la continuidad del proceso afectado.
11
12
13
Reportar al Coordinador del Plan de Contingencias, la conclusión de las actividades previstas y la puesta en marcha de la solución. Monitorear el correcto funcionamiento de la solución implementada, con el fin de avisar cualquier anomalía al Área de Sistemas. Iniciar las acciones pertinentes para el restablecimiento del proceso normal (ubicar al proveedor, hacer efectivas pólizas, hacer soporte correctivo, contratar nuevas soluciones, etc., según convenga o este planeado).
mayor de 1 hora vigilancia y soporte del SIASAS
Teléfono y documento de diagnóstico de la falla
Inmediatamente se haya terminado el diagnóstico respectivo, máximo 15 minutos después.
Teléfono, Plan de Contingencias y documento de diagnóstico de la falla.
Inmediato, máximo minutos.
Teléfono, Plan de Contingencias y documento de diagnóstico de la falla.
Entre 15 y 30 minutos
15
Ingeniero del Grupo
Coordinador del Plan de Contingencias.
Coordinador del Plan de Contingencias.
Coordinador Centro de Computo, Coordinador Grupo Línea de atención a usuarios, Ingeniero del Grupo de Desarrollo y Técnico de Soporte encargados de la vigilancia y soporte del SIASAS
Inventarios, Plan de Contingencias, documento de diagnóstico de la falla, último backup, manuales de usuario y técnico de la aplicación afectada. Medios magnéticos necesarios.
El mínimo dependiendo de la ubicación de los recursos necesarios. Máximo 1 hora.
Recursos necesarios localizados en la actividad 9.
El mínimo dependiendo de la complejidad de la solución. No debe ser mayor a 5 horas.
Ingeniero del Grupo de Desarrollo, Funcionario delegado en la dependencia y Técnico de Soporte encargados de la vigilancia y soporte del SIASAS
Reporte de las actividades realizadas, debidamente firmada por el usuario, como recibo a satisfacción.
Entre 15 y 30 minutos.
Ingeniero del Grupo de Desarrollo encargado de la vigilancia y soporte del SIASAS
Documentación del proceso afectado.
Observación permanente, mientras dure la contingencia
Funcionario delegado en la dependencia encargado de la vigilancia y soporte del SIASAS
No mayor a un (1) mes dependiendo del nivel de criticidad del proceso afectado.
Ingeniero del Grupo de Desarrollo, Funcionario delegado en la dependencia, encargados de la vigilancia y soporte del SIASAS
Plan de Contingencias. Documentación soporte del proceso.
7. ACTIVIDADES POSTERIORES AL DESASTRE
Realice una documentación completa del desastre y la acción realizada para reestablecer el orden. Se deberán realizar pruebas de recuperación de los respaldos, a lo menos una vez por semestre. Estas pruebas consistirán en la restauración de los sistemas que correspondan, a partir de su respaldo, y deberán quedar debidamente documentadas. En caso de presentarse problemas durante las pruebas, se deberán implementar las medidas correspondientes para prevenir su ocurrencia en el futuro. Mensualmente, se deberá generar un reporte de incidentes, con objeto de identificar categorías de incidentes más reportados , para luego tomar las medidas que correspondan para prevenirlos.
8. CRITERIOS Y PROCEDIMIENTOS DE PRUEBA DEL PLAN: Las pruebas de recuperación de desastres ayudan a garantizar que una organización podrá recuperar datos, aplicaciones críticas de negocio y continuar con su funcionamiento después de una interrupción de los servicios. La función principal de una prueba de DR es evaluar plenamente la continuidad de los procesos y los planes de recuperación de desastres. El proceso de prueba le permite a la entidad llevar a cabo el plan de mantenimiento y capacitar al personal sobre los procedimientos de recuperación de desastres. Las pruebas de recuperación de desastres deben realizarse de modo regular. Las comunicaciones, la recuperación de datos y la recuperación de aplicaciones suelen ser los ejes de todas las pruebas de recuperación de desastres. Los demás sectores para estas pruebas pueden variar, dependiendo de los objetivos de la organización sobre el punto de recuperación (RPO) y el tiempo de recuperación (RTO).
9. APROBACIÓN Luego probar el plan y aplicar las correcciones pertinentes, el alcalde deberá exponerlo y luego aprobarlo. Él y sus asesores son los encargados de establecer los procedimientos y responsabilidades en caso de alguna eventualidad y de actualizar y dar el aval al plan cada año. Este plan se debe considerar fundamental a la hora de asegurar la información ante un desastre, si bien es cierto que requiere una gran cantidad de recursos y a pesar de que requiere una cantidad considerable de recursos y trabajo, se convierte en una herramienta de gran relevancia para el ente gubernamental.
10. BIBLIOGRAFIA Maza Anton, Gina Lizbeth, PLAN DE CONTINGENCIA informático Y SEGURIDAD DE INFORMACION 2009, aplicado en la UNIVERSIDAD NACIONAL DE PIURA. PROCEDIMIENTOS DE SEGURIDAD DE LA INFORMACIÓN. Superintendencia del Medio Ambiente. Gobierno de Chile. Bases de datos, [en línea], disponible en: http://www.iuma.ulpgc.es/users/lhdez/inves/pfcs/memoria-ivan/node7.html Disponibilidad y recuperación ante desastres [en línea], Disponible en: https://msdn.microsoft.com/es-es/library/dn741215(v=sql.120).aspx Planeación y recuperación ante desastres [en línea], Disponible en: https://technet.microsoft.com/es-es/library/ms178128(v=sql.105).aspx Plan de Contingencias Contraloría de Bogotá D.C.