Plan de Seguridad y Contingencia

Organizacin: FULFAGU (Fundacin de Lucha contra la Fiebre Aftosa de Guatrach)

Localidad: Guatrach La Pampa
Alumno: Andrs Ledesma Higonet
Profesor: Eduardo Garca
Materia: Prctica Profesional
Carrera: Tec. Anlisis de Sistemas
Fecha: 07-03-2014





Instituto Superior Juan XXIII





Descripcin de la Organizacin elegida

La organizacin elegida para el caso es FULFAGU (Fundacin de Lucha contra la Fiebre Aftosa de
Guatrach). La misma se encuentra en la localidad de Guatrach, provincia de La Pampa y como
bien indica su nombre es una institucin que tiene como objetivo la vacunacin de animales
vacunos para protegerlos de dicha enfermedad. Aunque la organizacin radica en Guatrach,
atiende clientes de toda la zona: Santa Rosa, Macachn, Darregueira, San Martn, Bernasconi,
Jacinto Arauz, etc.
Actualmente la empresa cuenta con un sistema de gestin de clientes, vacunaciones, cuentas
corrientes y facturacin nuevo, an en fase de desarrollo, pero que ya fue utilizado en la ltima
campaa de vacunacin. Se est finalizando la programacin de una ampliacin del sistema, que
permitir operar el programa en red local dentro de la misma empresa, y tambin poder importar
y exportar datos para trabajarlos en forma externa a la red y luego reinsertarlos y combinarlos con
los datos que se encuentran en la base de datos del servidor.
Normalmente el sistema es operado por una sola persona, pero como se mencion
anteriormente, con la nueva versin van a trabajar en forma paralela dos empleados, siempre
operando sobre la base de datos ubicada en la computadora que acta como servidor, aunque
cada uno trabajar desde una terminal diferente.
Tanto el hardware como el software fueron provistos por BorealDev, siendo yo la persona
encargada de la instalacin de los equipos y el sistema as como del asesoramiento del personal y
actuando como soporte tcnico ante dudas y fallas. En el caso de instalacin de hardware o del
asesoramiento inicial fue necesario viajar hacia la localidad, y cuando hubo que resolver
problemas menores o despejar dudas de operacin se hizo por va telefnica y con el uso de
TeamViewer operando en forma remota.









Descripcin de la Amenaza

La amenaza elegida a la cual se le propondr solucin es: prdida de o inaccesibilidad a la
informacin por fallas en el software. En este caso se contemplan casos como: daos permanentes
en el sistema operativo, daos o alteraciones en los datos de la base de datos, prdida completa
de la base de datos, etc.
Actualmente los datos se almacenan en un disco rgido local, pero no se mantiene una copia
constante de los datos en Internet, sino que la administracin de las copias de seguridad de la
base de datos la realiza en forma manual el operador del programa. Si bien en el planteo y
presupuesto inicial se contempl y recomend mantener copias regulares automticas, por
cuestiones presupuestarias la organizacin opt por la forma manual.
Vale mencionar que al no manejarse volmenes muy grandes de informacin, no es necesario
tener una copia instantnea de la base de datos. Puede realizarse una copia diaria, o en lapsos de
4 horas.
Debido a la irregularidad de la conexin a internet, no pareci conveniente operar directamente
desde una base de datos online, lo cual hubiera sido en otro contexto una buena manera de
asegurar la informacin.
En resumen, actualmente la base de datos se aloja en un disco rgido local, que acta como
servidor en la red y la nica manera de obtener copias de esta informacin es exportando los
datos en forma manual por parte del operador y alojar esta copia en un dispositivo externo. Para
nosotros, proveedores del sistema y hardware, es una manera muy frgil de proteger la
informacin, ms an cuando estas copias de seguridad no se realizan en lapsos regulares.
El sistema de gestin ha sido desarrollado bajo .Net Framework 4.0, instalado en computadoras
con Windows 7. El lenguaje utilizado para su desarrollo fue C# y el motor de base de datos
utilizado es mysql.
Algunos ejemplos de amenazas que pueden afectar al sistema son:
Un virus puede borrar la base de datos, daar en forma permanente el sistema operativo,
alterar los datos de la base de datos.
Un operador puede cometer un error y eliminar la carpeta donde se aloja la base de datos,
o el archivo que contiene los datos de la base de datos, o bien cometer un error que dae
el sistema operativo.
Una aplicacin instalada puede generar conflictos. Aunque sera algo muy extrao que
sucediera, se debe contemplar la posibilidad.
El sistema operativo puede deteriorarse y comenzar a operar en forma muy lenta. En este
caso si bien la informacin no se altera, ni se daa, la operabilidad del sistema puede verse
muy complicada debido a un incorrecto uso de la terminal (que tambin es usada con
fines externos al sistema de gestin).
























Plan de Seguridad

Las amenazas que alteren el correcto y seguro uso del sistema pueden ser:
No intencionales:
1-Accidentes, desastres, catstrofes
2-Fallas del Sistema
3-Errores y Omisiones
Intencionales:
4-Perjuicio con motivacin econmica
5-Perjuicio sin motivacin econmica
6-Invasin a la privacidad
Para el desarrollo de nuestro plan de seguridad, en el cual se buscar reducir al mnimo la prdida
de informacin por daos en el software, vamos a centrarnos en las amenazas no intencionales,
sobre el punto 2 y 3: Fallas del sistema y errores y omisiones.
El objetivo de nuestro plan de seguridad es mantener la accesibilidad e integridad de la
informacin, para esto trataremos de desarrollar medidas defensivas que impidan el dao del
sistema operativo o de la base de datos.
En el caso de tener que solucionar un problema en el cual la informacin se ve parcial o
totalmente afectada, se pueden ofrecer numerosas soluciones variadas en su costo. Las polticas
que usaremos en este caso, nos harn optar por aquellas que impliquen un menor costo, por lo
tanto, buscaremos el menor uso de hardware externo y trataremos de aprovechar las ventajas que
ofrece tener copias en Internet para poder restablecer la informacin.
Debido al perfil de la empresa, no es prioridad operar en tiempo real, por lo tanto para reponerse
de una catstrofe que produzca prdida de informacin es conveniente darle ms prioridad a
reducir al mnimo los costos de la recuperacin, en lugar de los tiempos. De cualquier manera,
tampoco se descuidarn los tiempos de recuperacin, pero s quedarn en un segundo lugar.




Fallas del sistema
En este punto las amenazas que pueden daar la informacin pueden ser:
Fallas del programa al guardar la informacin. Problemas en inconsistencias de datos o
tipos de datos. Esta medida fue profundamente testeada pero aun as se contempla como
posible falla.
Problemas del sistema operativo instalado (Windows 7 en este caso) para acceder a la
base de datos. Puede ser una falla que permita funcionar al sistema operativo e incluso
inicial el sistema de gestin pero que de fallas para operar el mismo.
Dao permanente en el sistema operativo. Puede ser una falla que no permita dar
arranque al sistema.
Problemas con el programa utilizado para correr la base de datos (XAMPP) o el servicio de
mysql. XAMPP fue instalado inicialmente para poder tener un fcil acceso a la base de
datos desde el navegador web para realizar modificaciones en los tipos de datos que se
utilizaban y para tener una herramienta de fcil acceso en caso de correcciones menores
en datos de la base de datos. Una vez que el sistema fue instalado y comenz su
funcionamiento se dej como servicio del sistema mysql, que es el tipo de base de datos
utilizado actualmente. Una falla en este servicio puede dejar la informacin inaccesible
aunque sta se mantenga ntegra en su correcta ruta.
Aplicaciones externas que daen la base de datos. Instalaciones de programas que
puedan llegar a ocasionar problemas con los archivos de la base de datos.
Virus que afecten tanto el sistema operativo como la base de datos.

Medidas preventivas
Compra de licencia del sistema operativo. Esto puede dar ms seguridad en caso de
instalaciones de aplicaciones externas o actualizaciones del sistema, as como brindar
soporte de parte del proveedor de dicha licencia.
Mantenimiento regular del servidor. Esta computadora es utilizada al mismo tiempo con
otros fines, por lo tanto es normal que se instalen aplicaciones y se cargue de archivos que
deban ser controlados y revisados. Se pueden utilizar programas especiales para
mantenimiento y a su vez una revisin manual de parte de un tcnico para verificar el
correcto y ptimo funcionamiento, as como asegurar que la informacin se mantiene
protegida e inaccesible en forma externa al propio sistema de gestin.
Disco rgido espejo, utilizacin de RAID. Esta medida es una de las que no se contemplar
porque implica la compra de otro disco rgido, adems sera realmente aprovechado su
beneficio en caso de fallas sobre el hardware, lo cual no es contemplado en este plan de
seguridad.
Copias de seguridad de la base de datos. Como se explic anteriormente, actualmente se
realizan copias manuales de la base de datos. Lo que se sugiere en este punto es que el
sistema realice copias automticas. Existen diversas soluciones, que varan en complejidad
y seguridad:
o Copias completas de la base de datos.
o Copias parciales con las ltimas modificaciones.
o Almacenamiento de estas copias en dispositivos externos.
o Almacenamiento de estas copias en un servidor online: servidor dedicado o
compartido. Mantener las copias en un servidor dedicado parece ser la mejor
solucin pero su costo puede ser elevado, se pueden encontrar alternativas en
servidores compartidos, pero no se garantiza en un 100% la privacidad y seguridad
de la informacin, aunque su costo es notablemente menor.
o Utilizacin de algn sistema online como Dropbox para almacenamiento de la
base de datos. No recomendada completamente, es relativamente simple de
implementar, pero no son sistemas diseados para mantener copias de datos, sino
para tener una copia de la ltima versin, y aunque permite restablecer versiones
anteriores esta opcin es limitada.
o Envo de estas copias regulares y automticas a un email dedicado exclusivamente
a almacenar estas copias. Medida ms simple pero menos recomendada por no
ser tan automtica la manera de restablecer la base de datos luego.

Medidas detectivas
Establecer mensajes de error o precaucin en el sistema de gestin respecto a las
inconsistencias que puedan haber cuando se quiere guardar informacin y puedan
ocasionar problemas futuros.
En el caso de problemas con el sistema operativo, suele dar indicaciones cuando el
funcionamiento no es ptimo, as como los programas que se puedan utilizar para su
mantenimiento suelen indicar cuando es necesario realizar tareas de mantenimiento o
reparacin.
Visualizacin de datos inconsistentes en el programa.

Medidas correctivas
En el caso de tener fallas con el sistema operativo, acudir a la asistencia tcnica que se
pueda obtener (en caso de contar con las licencias del mismo).
Aplicacin de programas que puedan resolver problemas menores de acceso a la
informacin, en caso de que sta no haya sido alterada sino simplemente haya quedado
inaccesible, por ejemplo por el ataque de un virus.
Aplicacin del plan de contingencias desarrollado posteriormente.

Errores y omisiones

La primer causa, aunque fue incluida como fallas del sistema (Fallas del programa al
guardar la informacin por inconsistencia de datos), puede ser tambin vista como un
error u omisin del lado del operador al querer insertar datos que no son adecuados y
puedan provocar problemas en la base de datos.
Error al trabajar con los directorios de Windows. Puede ser que al estar trabajando con las
carpetas se mueva la ruta de la base de datos, quedando inaccesible, aunque sin prdida
de informacin.
Mal restablecimiento de la base de datos. Puede ser un error en el proceso o que se haya
restablecido una versin que no era correcta.
Error al trabajar con el sistema operativo. Haciendo uso de la computadora en forma ajena
al sistema de gestin, se puede daar en forma temporal o permanente el sistema
operativo, lo que deja a su vez imposibilitado el uso del programa de gestin.

Medidas preventivas
Correcta documentacin del sistema para operar los datos. Con esto se evitaran los
intentos de ingreso de informacin incorrecta.
Correcta documentacin del plan de restablecimiento de la base de datos. Acorde a la
manera elegida para ubicar una versin anterior de la base de datos, debe estar bien en
el claro el procedimiento a seguir para poder trabajar con una versin correcta.
Restringir usuarios de Windows para imposibilitar acceso a ciertos sectores u operaciones
que puedan daar el sistema operativo.
Revisin en forma regular del sistema. Punto tambin explicado en Fallas del sistema.
Mensajes preventivos al restablecer la base de datos: por ej. mostrar bien la fecha de la
base de datos que se est queriendo restablecer para tener seguridad que la versin es la
correcta.

Medidas detectivas
Mensajes de error en el sistema cuando se intenta insertar informacin inadecuada o
inconsistente.
Notificar instantneamente al detectar un funcionamiento no adecuado del sistema
operativo.
Mantenimiento regular de programas que ayuden al usuario a mantener el sistema
operativo funcionando correctamente.
Medidas correctivas
Acudir a la asistencia tcnica disponible de parte Windows.
Solicitar asistencia tcnica a la empresa encargada de soporte tcnico (BorealDev en este
caso).
Aplicacin de programas que puedan reparar errores leves en el sistema operativo.
Aplicacin del plan de contingencias desarrollado a continuacin.





















Plan de contingencia

A continuacin explicaremos el plan de contingencia, con el cual trataremos de buscar la manera
de evitar que el sistema quede frenado ante una amenaza que pueda ocurrir. Para ello
presentaremos opciones que buscarn recuperarse de dichos sucesos en el menor tiempo y sobre
todo, en este caso en particular, con el menor costo posible.
Como se explic, en este plan de seguridad se contemplan diversos casos que ocasionen prdida
de o inaccesibilidad a la informacin por problemas con el software. Por lo tanto evaluaremos las
medidas correctivas que deberemos aplicar para las 2 causas vistas anteriormente: Fallas del
sistema y Errores y omisiones. Las medidas correctivas que aplicaremos sern desarrolladas en
forma conjunta ya que ambas amenazas pueden afectar iguales sectores del software y con
alcance similar.
Se sabe que la informacin, a partir de este plan de seguridad, estar siempre respaldada. El
mtodo que consideramos ms adecuado en relacin costo/eficiencia es el de realizar estas copias
de seguridad en un servidor online. De esta manera se simplifica la importacin y exportacin de
los datos que se quieren respaldar.


Medidas correctivas
En caso de errores que hayan afectado el funcionamiento del sistema operativo pero se
pueda seguir operando, concurrir a la asistencia tcnica para normalizar el
funcionamiento.
En caso de haber sufrido ingreso de virus, troyano, malware, etc. que est afectando el
sistema operativo y no deje procesar la informacin del sistema de gestin, utilizar los
programas utilitarios que puedan detectar y eliminar la amenaza.
Contacto va telefnica con la empresa encargada del soporte tcnico, para que en caso de
ser posible se opere en forma remota para la solucin del problema.
En caso de haber sufrido dao en la informacin debido a ingreso indebido de informacin
o ataque de virus, proceder a la restauracin de la base de datos. Para esto, deber
ingresar al sistema de gestin con un usuario con los derechos apropiados, y en la seccin
correspondiente conectarse al servidor online. Una vez conectado podr elegir la base de
datos que desea restablecer. Evaluar si el funcionamiento y la visualizacin de la
informacin se ha normalizado, en caso contrario contactar con soporte tcnico ya que el
problema puede haber afectado otras reas del programa o del sistema operativo y no
slo un ataque o afeccin sobre la base de datos.
En caso de haber sufrido daos irreparables con el sistema operativo, no se dispondr de
asistencia remota, por lo tanto se deber proceder a una reinstalacin del sistema
operativo y luego del sistema de gestin. Una vez completado este proceso, se deber
proceder a la recuperacin de la base de datos de la forma desarrollada en el punto
anterior.
Para el punto anterior, sera recomendable tener disponible siempre un disco rgido de
respaldo con el sistema operativo y el programa de gestin instalados, procediendo
entonces a su reemplazo y luego a la recomposicin de la base de datos desde el servidor
online.




















Descripcin General del Plan

En resumen, nuestro plan de seguridad tiene como objetivo mantener la accesibilidad e
integridad de la informacin, y las amenazas contempladas en el mismo son aquellas que
produzcan prdida de o inaccesibilidad a la informacin por fallas en el software.
Para ello hemos desarrollado un plan de contingencia para reponer el funcionamiento del sistema
en el menor tiempo y costo posible.
El eje central de nuestro plan de seguridad mantener siempre copias actualizadas y seguras de la
base de datos, para luego evaluando cual fue el alcance de la amenaza que acaba de concretarse,
proceder a la restauracin del sistema operativo y/o programa de gestin y luego recuperar la
versin ms actualizada de los datos y poder normalizar el funcionamiento del sistema.
En cuanto a las vas utilizadas para resolver problemas que puedan surgir, se ofrece siempre la
posibilidad de asistencia remota en caso de ser posible, va telefnica para asesoramiento y
mantener siempre una correcta documentacin del sistema para evitar uso indebido del mismo y
evitar generar conflictos al guardar y recuperar informacin. De igual manera, en este plan de
seguridad y contingencia se explican las medidas correctivas a seguir para reponerse ante fallas.