GESTION Y SEGURIDAD DE BASE DE DATOS

FICHA 1881791

EVIDENCIA AA6-EV1-PLAN DE RESPALDO PARA LAS SECRETARÍAS DE

GOBIERNO Y HACIENDA DE SAN ANTONIO DEL SENA

PRESENTADO POR
EDWIN STIVEN BERNAL

PRESENTADO A TUTORA
ING. CANDELARIA VICTORIA SUAREZ BELEÑO

SERVIVIONACIONALDEAPRENDIZAJE“SENA”
PASTO-NARIÑO
2019
INTRODUCCIÓN
El plan de configuración y recuperación ante desastres, es una herramienta casi
tan importante como la construcción de la base de datos. El éxito de una
organización se encuentra en el balance perfecto entre la planeación, ejecución,
minimización de riesgos y mitigación de los mismos. Realizar la configuración
adecuada del SMBD es un paso fundamental cuando se busca la creación de la
base de datos que manejará la Alcaldía. Una erada configuración puede llevar a
la ocurrencia de errores catastróficos como la perdida de información o la
imposibilidad de recuperarse ante un desastre. Por ello, tener claro cómo se
debe reaccionar ante una emergencia se constituye en la llave maestra ante la
perduración de los datos en el tiempo y por ende, la garantía de la información
almacenada. Todo Sistema de Redes de Computadoras (ordenadores,
periféricos y accesorios) están expuestos a riesgo y puede ser frente fuente de
problemas. El Hardware, el Software están expuestos a diversos Factores de
Riesgo Humano y Físicos. Frente a cualquier evento, la celeridad en la
determinación de la gravedad del problema depende de la capacidad y la
estrategia a seguir para señalar con precisión, por ejemplo: ¿Qué componente
ha fallado?, ¿Cuál es el dato o archivo con información se ha perdido, en que
día y hora se ha producido y cuán rápido se descubrió? Estos problemas
menores y mayores sirven para retroalimentar nuestros procedimientos y planes
de seguridad en la información. Pueden asignarse pérdidas catastróficas a partir
de fallos de componentes críticos (el disco duro), bien por grandes desastres
(incendios, terremotos, sabotaje, etc.) o por fallas técnicas (errores humanos,
virus informático, etc.) que producen daño físico irreparable. Frente al mayor de
los desastres solo queda el tiempo de recuperación, lo que significa
adicionalmente la fuerte inversión en recursos humanos y técnicos para
reconstruir su Sistema de Red y su Sistema de Información.
OBJETIVOS
Elabora el plan de respaldo de la información de acuerdo con los lineamientos
establecidos y las características de la organización.
ALCANCE
El plan comienza con la identificación de riesgos y vulnerabilidades y termina con
el establecimiento de las políticas de seguridad. Para el desarrollo del plan se
han identificado tres grandes fases, como lo son la fase de mitigación,
emergencias y recuperación.
IDENTIFICACIÓN Y ANALISIS DE RIESGOS
Para el análisis de riesgo se ha evaluado el impacto por interrupción de servicio,
estimando las pérdidas que involucraría la interrupción parcial o total del
funcionamiento de la Alcaldía de San Antonio del SENA.
1. Riesgos con incidencia externa
Se contemplan los riesgos por cabios de normatividad, ya sean a nivel nacional,
departamental o municipal, los cuales puedan incidir en un cambio inmediato del
funcionamiento del PLAN DE CONFIGURACIÓN Y RECUPERACIÓN ANTE
DESASTRES PARA EL SMBD
2. Riesgos con incidencia interna

 Incumplimiento de contratista: este riesgo puede ocurrir cuando alguno de

los contratistas firmados para implementación del PLAN DE
CONFIGURACIÓN Y RECUPERACIÓN ANTE DESASTRES PARA EL
SMBD o de las actividades propias del área de sistemas responsable del
manejo tanto de las plataformas como de las actividades de
mantenimiento y seguridad de la información.
 Posibles retrasos en procesos administrativos: Al implementar procesos
tecnológicos, es frecuente que se incurra en retrasos de los procesos
administrativos mientras los usuarios se acomodan al uso de los sistemas
razón por la cual se deben implementar estrategias que no imposibiliten
la continua prestación del servicio
 Contratación sin asistencia técnica: Soluciones Inadecuadas o
Incompatibilidad frente a los Requerimientos y Recursos Disponibles: Se
relaciona con deficientes procesos de análisis, evaluación, planeación y
toma de decisiones sobre la elección de las alternativas tecnológicas a
ser implementadas, y con el probable desconocimiento de las
características y especificaciones técnicas de los recursos disponibles y
las necesarias en cada una de las soluciones elegidas, de manera
compatible.
 Posible pérdida de información: La idea del presente plan de
contingencias es que este riesgo tenga baja probabilidad de ocurrencia,
efectuado copias de seguridad de todo tipo de archivos que se desarrollen
en la entidad.
  Posible falla de equipos electrónicos y Hardware fuera de inventario: Este
riesgo se presenta por la Falta de Previsión, con la no inclusión de
soluciones para aspectos de baja prioridad o al excluir elementos de los
inventarios, por desconocimiento o por no haber sido reportados a tiempo
al área de sistemas.
 Posibles Fallas en el Flujo de Energía Eléctrica: Este riesgo está
relacionado con amenazas externas al control de la Entidad. Sin embargo,
se han implementado equipos para la mitigación del riesgo de corte
temporal de energía eléctrica. Para tiempos mayores a una (1) hora que
es lo soportado por los equipos adquiridos 2 se debe acudir a procesos
manuales establecidos como contingencia hasta tanto se solucione la
falla.
 Posible calentamiento de la Sala de Computo: como se explicó en la
PROPUESTA ARQUITECTURA TECNOLÓGICA SAN ANTONIO DEL
SENA, “…Los servidores se ubicarán en una sala independiente a la cual
sólo tendrá acceso personal autorizado que tenga que ver con su
mantenimiento y/o vigilancia, buscando mantener las condiciones
ambientales para no generar aumentos de temperatura repentina que
obliguen la activación de fuentes externas para mantener la temperatura
y humedad en la sala y a su vez, buscando garantizar el máximo a la
seguridad y estabilidad de la información de la alcaldía y por ende de San
Antonio del Sena” sin embargo, aunque la probabilidad de ocurrencia es
baja, este riesgo debe ser de igual manera contemplado

PLAN DE MITIGACIÓN
En el plan de mitigación se contemplaran la frecuencia de copias de seguridad y
los tipos de las mismas
1. Proceso de respaldo
Por medio de este proceso, la Alcaldía de San Antonio del SENA asegura la
conservación de la información y determinara donde se realizarán los trabajos
críticos de procesamiento de datos en caso de falta o falla de sus equipos.
Para ello, se han incluido los 5 principales componente de un sistema de
información:
 Los datos
 La documentación
 Los programas (software)
 Los procedimientos
 Los equipos (hardware)
 2. Proceso de respaldo externo.
Como sitio de respaldo externo se entiende una instalación diferente a la sede
principal de la entidad donde se almacena una copia de los archivos de backups
de la entidad, para que ante cualquier eventualidad que se presente en la sede
principal se pueda reiniciar labores con los archivos almacenados en el sitio de
respaldo externo. Este lugar será establecido luego de la contratación de
espacios propios de la Alcaldía de San Antonio del SENA.
3. Plan de backups y equipos de respaldo:
Estos backups deberán ser ejecutados por el coordinador del área de sistemas
y algunos funcionarios con que cuenten con usuario con privilegio para realizar
las copias de seguridad.
4. Definición de Niveles de Backup
Los niveles de backup que se han establecido como política en Área de Sistemas
son los siguientes:
 ANUAL: Debe realizarse al final de cada año (último día del año), es un
backup total en cintas que se guardan indefinidamente.
 SEMESTRAL: Debe realizarse al final de cada semestre un backup total
(último día de cada semestre exceptuando el último día del año). Estas
cintas se pueden denominar semestre1, semestre2 y se reutilizan
anualmente.
 MENSUAL: Debe realizarse al final de cada mes un backup total (último
día de cada mes exceptuando el último día del año). Estas cintas se
pueden denominar mes1, mes2, mes3,…. mes12 y se reutilizan
anualmente.
 SEMANAL: Se debe realizar al final de la semana (último día de la
semana), es un backup total en cintas. Estas cintas se pueden denominar
semana1,….semana4 y se reutilizan mensualmente.
 DIARIO: Se debe realizar al final del día, es un backup total de la
información diaria en cintas independientes. Estas cintas se pueden
denominar lunes, martes, miércoles y jueves y se realizan semanalmente
 EN LINEA: Este backup se hace siempre y cuando se posea la
infraestructura para copiar los archivos o directorios considerados como
información vital al disco duro de un servidor remoto.

5. Procedimiento para efectuar los backups.

Para ello se implementará un procedimiento en el Sistema Integrado de Gestión,
el cual deberá ser proyectado por el enlace de la OCI en el área de sistemas y
aprobado por el Coordinador del área y el Coordinador del OCI.
Se deberá incluir como mínimo la siguiente información y se deberá nombrar un
Coordinador de Contingencia:
Backup base de datos en servidores
 Nº Responsable Actividad Registro
Determina de acuerdo a la
periodicidad establecida si el backup a
realizar es diario, semanal, mensual o
semestral
Verifica en la Planilla de Control de
Planilla de
Backups el número de la unidad de
Control de
almacenamiento correspondiente y
Backups
Profesional registra la fecha de ejecución
1 Centro de Selecciona en la unidad
Cómputo correspondiente y prepara en el
servidor (el) (los) archivo(s) a
respaldar.
Ejecuta la acción adecuada para
respaldar (el)(los) archivo(s).
Finalizada la copia de (el)(los)
archivo(s) se regresa la unidad a su
lugar de origen

Backup semestral de información institucional

Nº Responsable Actividad Registro
Envía memorando al Contralor, Memorando
Contralor Auxiliar, Directores
Técnicos, Jefes de Oficinas
Asesoras y Grupo de Actuaciones
Especiales informando acerca del
Coordinador backup semestral de información
2 Área de institucional, indicando que se debe
Informática recopilar en un equipo con suficiente
espacio en disco duro dentro de un
directorio conformado por las
iniciales DT seguido del código de la
dependencia (DT#####) y que se
encuentre conectado a la red.
Solicita a todos sus funcionarios que
seleccionen los archivos que
Alcalde, ameriten ser conservados en copia
Secretarios, de seguridad, en su última versión y
Directores preferiblemente establecer nombres
3
Técnicos, cortos, combinado con fechas para
Coordinadores, definir los nombres de estos.
Jefe de OCI. Asigna un funcionario para que
realice la compilación de los archivos
en el equipo seleccionado.
Diseña en el computador
Profesional y/o
seleccionado y dentro del directorio
4 técnico de la
DT##### la estructura con los
Dependencia
subdirectorios contenidos y copia en
 ella los archivos relevantes de la
dependencia.
Envía a la Dirección de Informática
memorando informando que el
directorio asignado para incluir los
archivos que ameriten mantenerse
Alcalde, en backup se encuentra conformado
Secretarios, donde se indique: - Nombre y código
Directores de la Dependencia - Nombre del
5 Memorando
Técnicos, responsable del backup en la
Coordinadores, Dependencia - Ubicación e
Jefe de OCI. identificación en la red del
computador que contiene la
información - Nombre del directorio
principal - Estructura gráfica del
directorio principal completa.
Ubica a través de la red el directorio
principal de cada una de las
dependencias y procede a copiar la
información en un servidor del Centro
de Cómputo asignado para tal fin.

Registra la acción realizada en la

planilla de control de backup
Profesional Planilla de
institucional. Una vez centralizada
6 Centro de control de
toda la información en el servidor
Cómputo Backup
procede a copiar todos los datos en
las unidades de almacenamiento
(datacartridge) debidamente
identificadas con el contenido de su
información, la primera de ellas con
destino al archivo del Centro de
Cómputo y la otra para el centro
alterno.

Recuperación de información institucional

Nº Responsable Actividad Registro
Envía memorando a la Dirección de
Alcalde,
Informática solicitando la
Secretarios,
recuperación de un backup o parte
Directores
7 de este, indicando la fecha y Memorando
Técnicos,
ubicación de la información en la
Coordinadores,
estructura de directorios de la
Jefe de OCI.
respectiva dependencia.
Asigna profesional del Centro de
Director de
8 Cómputo para realizar la tarea
Informática.
correspondiente
Ubica la cinta correspondiente y
9
restaura la información en el disco
 duro del servidor para luego enviarla
vía red a la dependencia solicitante.
Profesional
Proyecta respuesta para la firma del
Centro de
Director de Informática, informando
Cómputo
fecha y ubicación donde fueron
restaurados los datos solicitados.

Centro de Cómputo Alterno.

La Alcaldía de San Antonio del SENA, al no contar con un centro alterno donde
se pueda localizar este espacio, deberá contemplar la adquisición de este lugar,
no solo para preservar la información en un lugar distinto al edificio principal que
pueda servir de respaldo en caso de incidentes naturales o incendios, sino
también para poder aislar la información en caso de ataques cibernéticos, etc.
Este centro de cómputo deberá contar con un coordinador y personal capacitado
en Tecnologías de información, base de datos y oficial de seguridad de la
información.
PLAN DE CONTINGENCIA
En el momento en que se presente la emergencia, los grupos de trabajo deben
iniciar y seguir los siguientes pasos.
Paso Acción Recurso Duración Responsable
necesario
1 Reporte de la Teléfono. Inmediato Usuario
falla al Reporte de
funcionario Errores
encargado de los
sistemas, que
pertenece a la
dependencia y
que hace parte
del grupo de
desarrollo
2 Inhabilitar el uso Listado de Inmediato, Funcionario
del equipo o usuarios, Máximo 15 Encargado de
equipos que medio de minutos la
utilizan dicha comunicación. Dependencia
aplicación y
advertencia a los
usuarios para no
desarrollar
ninguna
actividad
relacionada.
3 Reporte de la Teléfono. Inmediato, Funcionario
falla a la línea de Reporte de Máximo 30 Encargado de
Atención a Errores minutos la
Usuarios Dependencia
4 Dirigirse a la Medio de Máximo 30 Ingeniero del
dependencia en transporte, minutos, Grupo de
donde se ha reporte de dependiendo Desarrollo y
presentado la errores, orden del lugar donde Técnico de
falla de servicio se halla Soporte
presentado la encargados de
falla la vigilancia y
soporte del
plan de
configuración y
recuperación
ante desastres
para el smbd
5 Identificación, Fuentes, Dependiendo Ingeniero del
diagnóstico y documentación del nivel de Grupo de
Análisis de las soporte de la criticidad de la Desarrollo,
fallas y su aplicación, falla (alta, Funcionario
alcance. equipo de media, baja), delegado en la
soporte y pero no mayor a dependencia y
pruebas 1 hora Técnico de
(herramientas y Soporte
medios encargados de
magnéticos) la vigilancia y
soporte del del
plan de
configuración y
recuperación
ante desastres
para el smbd
6 Reporte al Teléfono y Inmediatamente Ingeniero del
Coordinador del documento de se haya Grupo
Plan de diagnóstico de terminado el
Contingencias la falla diagnóstico
respectivo,
máximo 15
minutos
después
7 Notificación al Teléfono, Plan Inmediato, Coordinador
Comité Directivo de máximo 15 del Plan de
de la Situación, Contingencias minutos. Contingencias.
para que ellos y documento
tomen la decisión de diagnóstico
de liberar y poner de la falla.
en ejecución el
Plan de
Contingencias, si
así lo amerita.
8 Si se pone en Teléfono, Plan Entre 15 y 30 Coordinador
marcha el Plan de minutos del Plan de
de Contingencias Contingencias.
 Contingencias, el y documento
coordinador de diagnóstico
debe identificar de la falla.
el área o áreas
afectadas con el
fin de notificar al
personal
encargado de las
mismas, para
llevar a cabo las
actividades del
Plan.
9 Localizar los Inventarios, El mínimo Coordinador
recursos Plan de dependiendo de Centro de
necesarios para Contingencias, la ubicación de Computo,
dar inicio al Plan documento de los recursos Coordinador
relacionado con diagnóstico de necesarios. Grupo Línea
el área afectada la falla, último Máximo 1 hora. de atención a
backup, usuarios,
manuales de Ingeniero del
usuario y Grupo de
técnico de la Desarrollo y
aplicación Técnico de
afectada. Soporte
Medios encargados de
magnéticos la vigilancia y
necesarios. soporte del
plan de
configuración y
recuperación
ante desastres
para el smbd
10 Implementar la Recursos El mínimo Ingeniero del
solución y necesarios dependiendo de Grupo de
ejecutar las la complejidad Desarrollo,
actividades de la solución. Funcionario
establecidas en No debe ser delegado en la
el Plan para mayor a 5 dependencia y
mantener la horas. Técnico de
continuidad del Soporte
proceso encargados de
afectado. la vigilancia y
soporte del
plan de
configuración y
recuperación
ante desastres
para el smbd
11 Reportar al Reporte de las Entre 15 y 30 Ingeniero del
Coordinador del actividades minutos. Grupo de
 Plan de realizadas, Desarrollo
Contingencias, la debidamente encargado de
conclusión de las firmada por el la vigilancia y
actividades usuario, como soporte del
previstas y la recibo a plan de
puesta en satisfacción configuración y
marcha de la recuperación
solución. ante desastres
para el smbd
12 Monitorear el Documentación Observación Funcionario
correcto del proceso permanente, delegado en la
funcionamiento afectado. mientras dure la dependencia
de la solución contingencia encargado de
implementada, la vigilancia y
con el fin de soporte del
avisar cualquier plan de
anomalía al Área configuración y
de Sistemas. recuperación
ante desastres
para el smbd
13 Iniciar las Plan de No mayor a un Ingeniero del
acciones Contingencias. (1) mes Grupo de
pertinentes para Documentación dependiendo Desarrollo,
el soporte del del nivel de Funcionario
restablecimiento proceso criticidad del delegado en la
del proceso proceso dependencia,
normal (ubicar al afectado. encargados de
proveedor, hacer la vigilancia y
efectivas pólizas, soporte del
hacer soporte plan de
correctivo, configuración y
contratar nuevas recuperación
soluciones, etc., ante desastres
según convenga para el smbd
o este planeado).

ACTIVIDADES POSTERIORES AL DESASTRE

 Realice una documentación completa del desastre y la acción realizada
para reestablecer el orden.
 Se deberán realizar pruebas de recuperación delos respaldos, a lo menos
una vez por semestre. Estas pruebas consistirán en la restauración de los
sistemas que correspondan, a partir de su respaldo, y deberán quedar
debidamente documentadas. En caso de presentarse problemas durante
las pruebas, se deberán implementar las medidas correspondientes para
prevenir su ocurrencia en el futuro.
 Mensualmente, se deberá generar un reporte de incidentes, con objeto de
identificar categorías de incidentes más reportados, para luego tomar las
medidas que correspondan para prevenirlos.
CRITERIOS Y PROCEDIMIENTOS DE PRUEBA DEL PLAN:
Las pruebas de recuperación de desastres ayudan a garantizar que una
organización podrá recuperar datos, aplicaciones críticas de negocio y continuar
con su funcionamiento después de una interrupción de los servicios. La función
principal de una prueba de DR es evaluar plenamente la continuidad de los
procesos y los planes de recuperación de desastres. El proceso de prueba le
permite a la entidad llevar a cabo el plan de mantenimiento y capacitar al
personal sobre los procedimientos de recuperación de desastres.
Las pruebas de recuperación de desastres deben realizarse de modo regular.
Las comunicaciones, la recuperación de datos y la recuperación de aplicaciones
suelen ser los ejes de todas las pruebas de recuperación de desastres. Los
demás sectores para estas pruebas pueden variar, dependiendo de los objetivos
de la organización sobre el punto de recuperación (RPO) y el tiempo de
recuperación (RTO).
APROBACIÓN
Luego probar el plan y aplicar las correcciones pertinentes, el alcalde deberá
exponerlo y luego aprobarlo. Él y sus asesores son los encargados de establecer
los procedimientos y responsabilidades en caso de alguna eventualidad y de
actualizar y dar el aval al plan cada año.
Este plan se debe considerar fundamental a la hora de asegurar la información
ante un desastre, si bien es cierto que requiere una gran cantidad de recursos y
a pesar de que requiere una cantidad considerable de recursos y trabajo, se
convierte en una herramienta de gran relevancia para el ente gubernamental.
BIBLIOGRAFIA

 Maza Anton, Gina Lizbeth, PLAN DE CONTINGENCIA informático Y

SEGURIDAD DE INFORMACION 2009, aplicado en la UNIVERSIDAD
NACIONAL DE PIURA.
 PROCEDIMIENTOS DE SEGURIDAD DE LA INFORMACIÓN.
Superintendencia del Medio Ambiente. Gobierno de Chile
 Bases de datos, [en línea], disponible en:
http://www.iuma.ulpgc.es/users/lhdez/inves/pfcs/memoria-
ivan/node7.html
 Disponibilidad y recuperación ante desastres [en línea], Disponible en:
https://msdn.microsoft.com/es-es/library/dn741215(v=sql.120).aspx
 Planeación y recuperación ante desastres [en línea], Disponible en:
https://technet.microsoft.com/es-es/library/ms178128(v=sql.105).aspx
 Plan de Contingencias Contraloría de Bogotá D.C