ESTABLECER POLÍTICAS DE RESGUARDO DE INFORMACIÓN
No
es ninguna novedad el valor
que tiene la información
y los datos
para nuestros negocios.
Los que resulta increíble de esto es la falta de precauciones que solemos tener
al confiar al núcleo de nuestros negocios
al sistema
de almacenamiento
de lo que en la mayoría de los casos resulta ser una computadora
pobremente armada tanto del punto de vista de hardware como
de software.
Las
interrupciones se presentan de formas muy variadas: virus informáticos,
fallos de electricidad,
errores de hardware
y software,
caídas de red,
hackers,
errores humanos, incendios,
inundaciones, etc. Y aunque no se pueda prevenir cada una de estas
interrupciones, la empresa
sí puede prepararse para evitar las consecuencias que éstas puedan tener sobre
su negocio. Del tiempo
que tarde en reaccionar unae empresa
dpenderá la gravedad de sus consecuencias.
Lo
ideal es que nunca sufra pérdidas de información. Pero para que esto se cumpla
es importante cumplir con todos y cada unos de los puntos que aqui se detallan:
- Seguridad del Hardware
- Seguridad edilicia
- Seguridad interna
- Mantenimiento Preventivo
- Seguridad de Redes
- Seguridad de la Base de Datos
- Seguridad de la base de datos
- Seguridad de los archivos de la base de datos
- Seguridad en el Sistema informático
- Seguridad en el Sistema Operativo
- Seguridad de servidores
- Seguridad de PCs Clientes
- Seguridad Antivirus: Definición de pólitica de antivirus
- Seguridad de los documentos informáticos de la empresa: Política de almacenamiento de:
- documentos informáticos.
- Seguridad de los archivos en papel que respaldan la base de datos: Política de almacenamiento de archivos en papel
- Resguardo de la información
- Resguardo de Hardware
- Resguardo de Software
- Resguardo de la base de datos
- Resguardo de los documentos informáticos
SELECCIONAR LA UBICACIÓN FISICA DE LOS RESPALDOS
La ubicación física e instalación de un Centro de Cómputo en una empresa
depende de muchos factores, entre los que podemos citar: el tamaño de la
empresa, el servicio que se pretende obtener, las disponibilidades de espacio
físico existente o proyectado, etc. Generalmente, la instalación física de un
Centro de Cómputo exige tener en cuenta por lo menos los siguientes puntos:
·
Local físico. Donde se analizará el espacio
disponible, el acceso de equipos y personal, instalaciones de suministro
eléctrico, acondicionamiento térmico y elementos de seguridad disponibles.
·
Espacio y movilidad. Características de las salas,
altura, anchura, posición de las columnas, posibilidades de movilidad de los
equipos, suelo móvil o falso suelo, etc.
Iluminación. El sistema de iluminación debe ser apropiado para evitar reflejos en las pantallas, falta de luz en determinados puntos, y se evitará la incidencia directa del sol sobre los equipos.
Iluminación. El sistema de iluminación debe ser apropiado para evitar reflejos en las pantallas, falta de luz en determinados puntos, y se evitará la incidencia directa del sol sobre los equipos.
·
Tratamiento acústico. Los equipos ruidosos como las
impresoras con impacto, equipos de aire acondicionado o equipos sujetos a una
gran vibración, deben estar en zonas donde tanto el ruido como la vibración se
encuentren amortiguados.
·
Seguridad física del local. Se estudiará el sistema
contra incendios, teniendo en cuenta que los materiales sean incombustibles
(pintura de las paredes, suelo, techo, mesas, estanterías, etc.). También se
estudiará la protección contra inundaciones y otros peligros físicos que puedan
afectar a la instalación.
·
Suministro eléctrico. El suministro eléctrico a un
Centro de Cómputo, y en particular la alimentación de los equipos, debe hacerse
con unas condiciones especiales, como la utilización de una línea independiente
del resto de la instalación para evitar interferencias, con elementos de
protección y seguridad específicos y en muchos casos con sistemas de
alimentación ininterrumpida (equipos electrógenos, instalación de baterías,
etc.).
FRECUENCIA DEL RESGUARDO
1)
Todo sistema deberá contar con la documentación de los procedimientos de
resguardo y recuperación antes de entrar en producción. La misma será controlada por el área
responsable de la Seguridad Informática para verificar que es clara, completa y
contempla como mínimo la recuperación de los siguientes elementos:
a)
El reemplazo de los servidores críticos.
b)
El sistema operativo y su configuración (parámetros, file systems, particiones,
usuarios y grupos, etc.).
c) Los
utilitarios y paquetes de software de base necesarios para que la aplicación se
ejecute.
d)
Los programas que componen la aplicación.
e)
Los archivos y/o bases de datos del sistema.
f) Horario
de ejecución de la copia de resguardo.
No se pondrá en
producción ningún sistema que no cumpla este requerimiento.
2)
Todas las copias de resguardo deberán estar claramente identificadas, con
etiquetas que indiquen como mínimo
a)
Equipo al que pertenecen
b)
Fecha y hora de ejecución
c) Frecuencia
: anual, mensual, semanal, diaria
d)
Número de secuencia o lote
e)
Tipo de backup
f) Nombre
del sistema o aplicativo
y otros datos necesarios para su fácil reconocimiento.
3)
Se llevará un registro diario de las
cintas en uso indicando al menos,
a)
Fecha de ejecución del resguardo.
b)
Qué cintas integran el backup de los equipos.
c) Cantidad
de veces que se usó la cinta.
d)
Lugares asignados para su guarda.
El área
responsable de Seguridad Informática revisará periódicamente que se cumpla con
este registro en tiempo y forma.
4)
Todos los procedimientos de respaldo deberán generar un log en el equipo que
permita la revisión del resultado de la ejecución, y dentro de lo posible, se
realizarán con la opción de verificación de integridad (lectura posterior a la
escritura.)
5)
Los sitios donde se almacenen las copias de resguardo deberán ser físicamente
seguros, con los controles físicos y ambientales según normas estándares; los
soportes ópticos o magnéticos deben guardarse dentro de un armario o caja de
seguridad ignífugo.
6)
Se generarán en lo posible DOS (2) copias de resguardo, guardando una de ellas en un edificio
diferente al del ámbito de procesamiento, en un lugar que cumpla con los
requerimientos mencionados en el punto 5) y a distancia tal que la ocurrencia
de cualquier contingencia en uno no afecte al otro. En caso de tener solo una
copia esta debe ser llevada fuera del ámbito de procesamiento de la forma
anteriormente mencionada.
El traslado de
las cintas debe ser realizado por personal debidamente autorizado, utilizando
los accesos habilitados para movimiento de insumos.
7)
Se realizarán copias de resguardo del sistema completo de acuerdo a lo indicado
en la frecuencia asignada a cada aplicación o sistema, previendo la
conservación de estos backups por el período de tiempo también estipulado
previamente conforme a la criticidad de la información.
8)
En el caso de utilizar backups incrementales se deberá tener en cuenta lo
siguiente:
a)
Se documentará la identificación de secuencia de los backups incrementales.
b)
Deberán existir controles para prevenir la carga de cintas en una secuencia
equivocada.
c) Se realizará un backup del sistema
completo cada SIETE (7) días corridos.
9) Se efectuarán pruebas de
recuperación de las copias de resguardo al menos una vez cada TREINTA (30) días
corridos. Estas pruebas servirán para constatar que se puedan obtener
correctamente los datos grabados en la cinta al momento de ser necesarios, de forma
de garantizar su propósito.
Las
pruebas se deberán formalizar en un acta escrita y firmada por el responsable
del sector técnico y el encargado de realizar la recuperación.
Eventualmente
el área responsable de la Seguridad Informática presenciará las pruebas y
firmará el acta.
10)
Los servidores críticos deberán contar con RAIDs de discos, a los efectos de
que la información sensible no se vea afectada por potenciales desperfectos en
los discos.
11)
Para el caso de aplicaciones críticas se implementarán técnicas de replicación
automática, por hardware o software, de forma tal que si el equipo/base de
datos principal deje de funcionar el equipo/base de datos espejo tome el
control inmediatamente.
12)
Los períodos de retención de la información histórica son los siguientes:
Fuentes y base de
datos: perpetuo
Lotes de TRANSAF:
perpetuo.
Actividades de
los usuarios y pistas de auditoría: TRES (3) años.
13)
El resguardo de la información histórica se realizará utilizando soportes
ópticos de referencia no reutilizables (CDs, etc).
14)
Los procedimientos de generación y grabación de estos archivos serán
automáticos, a fin de evitar su modificación.
ETIQUETAR LOS MEDIOS DE ALMACENAMIENTO
Los medios de almacenamiento deben estar
etiquetados y dados de alta en Tivoli Storage Manager para poder utilizarlos.
El etiquetado de medios se realiza al inicio de
cada volumen para que éste quede identificado de forma exclusiva en Tivoli
Storage Manager. El Asistente para el etiquetado de medios sólo aparece si se
han definido dispositivos de almacenamiento conectados en Tivoli Storage
Manager.
Aparecerán versiones ligeramente diferentes del
asistente para dispositivos de almacenamiento manuales y automatizados. En este
apartado se describe el etiquetado de medios y el proceso de alta de
dispositivos de biblioteca automatizada.
Tareas de configuración
El Asistente para el etiquetado de medios consta de
una página de bienvenida y una serie de páginas de entrada que le ayudarán a
realizar las tareas siguientes:
*Primera página de entrada
Seleccionar los dispositivos que contienen los
medios que desea etiquetar.
*Segunda página de entrada
Seleccionar y etiquetar medios concretos.
*Tercera página de entrada
Dar de alta medios etiquetados en Tivoli Storage
Manager.
ELABORAR RESPALDOS DE INFORMACIÓN
1. El uso y
aprovechamiento del Servidor de Respaldo será destinado únicamente para apoyar
las funciones que son propias de la Procuraduría Agraria.
2. Queda
estrictamente prohibido almacenar, en las carpetas asignadas en el Servidor
Institucional de Respaldos, archivos de juegos, música, reproductores de música
y/o video, programas de cómputo sin licencia y cualquier otra información ajena
a la Institución.
3. Invariablemente, el Enlace, debe de registrar los
respaldos de información efectuados en el formato de Control de Respaldos, con
base al instructivo de llenado previamente definido y proporcionado por la
Dirección de Informática.
4. El Enlace debe archivar los formatos de Control de
Respaldos en una carpeta especial para tales efectos, conforme a los
lineamientos definidos por la Dirección de Informática.
5. En caso de
requerir una copia de seguridad de la información resguardada en la Bóveda de
Seguridad, cada unidad administrativa deberá proporcionar a la Dirección de
Informática una cinta magnética HP DDS-2 C5707A de 8 GB.
6. Es responsabilidad de cada una de las unidades
administrativas de Oficinas Centrales requerir a la Dirección de Recursos
Materiales y Servicios el suministro de las cintas magnéticas HP DDS-2 C5707A
de 8 GB.
7.
Invariablemente la información a respaldar debe estar compactada y debidamente
identificada; así mismo, deberá ser registrada en el Control de Respaldos, de
acuerdo a lo establecido por la Dirección de Informática.
MANIPULAR UTILERIAS DE RCUPERACIÓN Y RESTAURACIÓN DE INFORMACIÓN
Existen 3 medios para hacer un BackUp:
*-SW de respaldo TRADICIONAL: Estos permiten elegir las carpetas y archivos que se desean respaldar. Elegido por usuarios con experiencia.
*-SW de respaldo de FONDO: Todo, tal cual y como esta, se respalda. Recomendado para novatos gracias a su falta de complejidad.
*-Servicios de respaldo por internet: Este consiste en subir los archivos a algún servidor en red, ya sea gratuito o de privado
PROTEGER LA CONFIDENCIALIDAD DE LA INFORMACIÓN
Protección de
la confidencialidad de la informaciónEl primer nivel es la contraseña para
acceder al disco duro. Si esta contraseña se establece, es necesario
suministrarla cada vez que el sistema se enciende, o el disco no rotará, en
cuyo caso la información no estará accesible.
La encriptación es el segundo nivel. El concepto es sencillo. La información encriptada no puede utilizarse.
La encriptación es el segundo nivel. El concepto es sencillo. La información encriptada no puede utilizarse.
La
confidencialidad es la propiedad de prevenir la divulgación de información a
personas o sistemas no autorizados.
Por ejemplo, una transacción de tarjeta de crédito en Internet requiere que el número de tarjeta de crédito a ser transmitida desde el comprador al comerciante y el comerciante de a una red de procesamiento de transacciones. El sistema intenta hacer valer la confidencialidad mediante el cifrado del número de la tarjeta y los datos que contiene la banda magnética durante la transmisión de los mismos. Si una parte no autorizada obtiene el número de la tarjeta en modo alguno, se ha producido una violación de la confidencialidad.
Por ejemplo, una transacción de tarjeta de crédito en Internet requiere que el número de tarjeta de crédito a ser transmitida desde el comprador al comerciante y el comerciante de a una red de procesamiento de transacciones. El sistema intenta hacer valer la confidencialidad mediante el cifrado del número de la tarjeta y los datos que contiene la banda magnética durante la transmisión de los mismos. Si una parte no autorizada obtiene el número de la tarjeta en modo alguno, se ha producido una violación de la confidencialidad.
La perdida de
la confidencialidad de la información puede adoptar muchas formas. Cuando
alguien mira por encima de su hombro, mientras usted tiene información
confidencial en la pantalla, cuando se publica información privada, cuando un
laptop con información sensible sobre una empresa es robado, cuando se divulga
información confidencial a través del teléfono, etc. Todos estos casos pueden
constituir una violación de la confidencialidad.
Exención de responsabilidades
Exención de responsabilidades
Si bien la
FAO proporciona enlaces a otros sitios Web que considera que se ajustan a sus
normas, la FAO no se hace responsable de la información publicada en otros
sitios Web que no le pertenecen. Por lo tanto, la FAO no es responsable y no
reconoce obligación respecto a la información u opiniones contenidas en los
sitios Web de terceros. Si bien la FAO se esfuerza para que su sitio Web sea
completo y correcto, no garantiza estas dos condiciones y no acepta
responsabilidad por los daños que pudieran producirse a consecuencia de la
utilización del sitio.
La FAO
Notificará al usuario los cambios importantes que se introduzcan a la política
de confidencialidad, a través de un anuncio en nuestro sitio.
Los servicios proporcionados por los editores están sujetos a autorización independiente entre el usuario y los editores participantes en el AGORA.
Los servicios proporcionados por los editores están sujetos a autorización independiente entre el usuario y los editores participantes en el AGORA.
No hay comentarios:
Publicar un comentario