PLAN DE CONFIGURACIÓN Y RECUPERACIÓN ANTE DESASTRES PARA EL SMBD ALCALDÍA SAN

ANTONIO DEL SENA

PRESENTADO POR:

PAOLA ANDREA NIÑO SALAMANCA

ANDRES FELIPE MORA FLOREZ
OSVALDO DE JESUS NORIEGA NIEBLES
NICOLAS JOVANY OCAMPO RAMIREZ

PRESENTADO A:

ING. CARLOS ALEJANDRO JEREZ ESCOBAR

SERVICIO NACIONAL DE APRENDIZAJE – SENA

ESPECIALIZACIÓN TECNOLÓGICA EN GESTIÓN Y SEGURIDAD DE BASES DE DATOS

MODALIDAD VIRTUAL

2019
1- Elaborar plan de configuración para el SMBD de acuerdo con los parámetros de
la plataforma seleccionada.

2- El plan de configuración detalla las especificaciones para los ajustes de:

memoria, gestión de usuarios, instancias, almacenamiento y tipos de archivos,
servicios, gestión de conexiones y manejo en red, sistema operativo.

3- El plan involucra las acciones de recuperación de información ante posibles

desastres informáticos.

4- El plan es ordenado y coherente con los propósitos de un administrador de Bases

de Datos.
INTRODUCCIÓN

Todos los sistema sistemas informáticos como lo son las computadoras y servidores
están expuestos a riesgos y pueden ser fuente de grandes dificultades para las
organizacilnes. Tanto el hardware como el software siempre están expuestos a
diversos factores de riesgo ya sea ocasionados por humanos o por factores
ambientales.

Al momento de presentarse una falla, la rapidéz en la determinación de la gravedad

del daño depende de la capacidad y el procedimiento a seguir para definir con
exactiud, ¿Qué dispositivo ha fallado?, ¿Qué información o archivos se ha perdido,
día y hora del evento y que tan rápido se detectó? Estos problemas sirven para
alimentar los procedimientos y planes de contingencia con la información.

Se puede presentar pérdidas catastróficas a partir de fallos de elementos físicos

fundamentales como los discos duros, también se pueden presentar por desastres
ambientales como: Inundaciones, movimientos telúricos y/o incendios, también se
pueden presentar por sabotajes, errores humanos, virus, entre otros, los cuales
pueden llegar a generar daños irreparable. Frente algún desastres de gran
magnitud solo queda el tiempo de recuperación, lo que significa una gran inversión
en recursos humanos y técnicos para reconstruir la infraestructura física y virtual.

La protección de los datos es vital mientras exista la posibilidad de, destrucción,

pérdida, robo y todas las amenasas que pueda tener una organización, para ello se
debe tener preparado un plan de contingencia para los sistemas informáticos.

El plan de contingencia para los sistemas informáticos describe las acciones que
deben tomarse ante una interrupción o desastre que impida la prestación de los
servicios.

Los planes de contingencia para los sistemas informáticos deben tener todos los
pasos para la atención de eventualidades pero también se deben tener presente en
detalle los nombres de los responsables de la contingencia y sus respectivos
alcances.

El plan debe describir un protocolo de copias de seguridad, elemento primordial y

necesario para la recuperación.
Tesis

Para que el plan de contingencia para los sistemas informáticos funcione, tiene que
involucrar a la parte gerencial. Ellos son los responsables de su coordinación y
deben asegurar su efectividad. Adicionalmente, deben proporcionar los recursos
necesarios para el desarrollo efectivo del plan. Todos los departamentos de la
organización participan en la definición del plan.

Objetivo

Desarrollar el plan de configuración y recuperación ante desastres describiendo los

elementos que los conforman y los protocolos a seguir para evitar la pérdida de
información.

Red de cómputo alcaldía.

La red informática de la alcaldía cuenta con tecnologías de información y

comunicación para los sisteamas de: conectividad y servicios Informáticos tanto
internos como externos para las diferentes dependencias de la alcaldía. La
administración de red está dividida en dos partes:

Servidores​: Encargada de alojar todos los servicios y sistemas de información y

comunicación. Los servicios de red implementados en la Alcaldía son: Conectividad
entre dispositivos, resolución de nombres, sistemas de información, sistemas de
comunicación y bases de datos.

Conectividad​: Es la encargada de la conexión Lan cableada y la red inalámbrica de

los equipos informáticos.

La alcaldía debe presentar un análisis de riesgos y crear una lista de posibles

desastres tanto naturales como los causados por errores humanos, y se deben
clasificar según las probabilidades de ocurrencia. Finalizada la lista, cada
departamento de la alcaldía debe analizar las consecuencias y el impacto generado
con el tipo de desastre. Esto servirá como referencia para identificar las
necesidades para el plan de contingencia.

Definidas las necesidades de las dependencias, se les debe asignar una prioridad.
Los procesos y operaciones son analizados para estimar la cantidad de tiempo que
la organización puede sobrevivir mientras se realiza la recuperación. Se debe
establece un orden de recuperación según el nivel de prioridad. A lo que se le llama
tiempo de recuperación.

Riesgos

A continuación se describen los tipos de riesgos a los que están expuestos todo el
conjunto de equipos informáticos y la información.

1- Hardware

2- Software

3- Humanos

4- Suministro de energía eléctrica

5- Suministro de telecomunicaciones

Posibles afectaciones por daños

Los posibles daños pueden referirse a:

Acceso imposible a los recursos por problemas ya sean físicos en las instalaciones,
desastres naturales o humanas. Imposibilidad de acceso a los recursos
informáticos, se pueden presentar por cambios involuntarios o intencionales, pueden
ser cambios de credenciales de acceso, eliminación de información vital. fuga de
datos fuera de la institución que dañe sus planes estratégicos, ya sea presentado
por hurto o uso indebido.

Detonantes de posibles daños

Entre los detonantes de los daños que pueden causar la interferencia del
funcionamiento de la compañía son:

Desastres Naturales:

Inundaciones, movimientos telúricos, condiciones ambientales extremas, afectación

de la red eléctrica.
Afectación humana:

Incapacidades, enfermedades, accidentes, despidos, renuncias y abandono de sus

puestos de trabajo, actos terroristas o vandálicos entre otros.

Accesos no autorizados:

Ruptura de las credenciales de acceso a los servidores o equipos de cómputo.

Fallas de Hardware:

Falla en los servidores de la organización

Fallas en la de red (routers, switches, cableado de red, Firewall, access point)

Análisis de fallas de Seguridad

Hace referencia al análisis de hardware, software, la estructura física del cuarto de

comunicaciones el uso entre otros, todo ello con el objetivo de identificar las
falencias que allí se presentan y que pongan en riesgo la estabilidad de todos los
elementos.

Por otro lado se analizan las fallas en la seguridad de la información y en los

equipos de la red de cómputo, es posible que se pueda afectar incluso la privacidad
de las persona. La seguridad de la información en nuestros tiempos tiene aspectos
relevantes como lo son:

Impedir el acceso a la información de las personas a los usuarios no autorizados.

Permitir el acceso a la información importante a las personas que están autorizadas

y necesitan de esa información para realizar sus funciones, éstas personas tienen la
responsabilidad de velar por la privacidad de la información que se les ha confiado.

Medidas de protección

Para mitigar los riesgos se tienen planteadas las siguientes medidas:

Pérdida de información: Se realiza copia de seguridad a los archivos de la
institución.

Hurto: Se cuenta con vigilancia privada en la portería, adicional se tienen chapas de

seguridad y se cuenta con sistema de alarma adicional se cuenta con cámaras de
vigilancia en el ingreso y los pasillos de la institución

Fallas de equipos: Para mitigar las fallas en los equipos de cómputo se realizan los
mantenimientos preventivos según el cronograma elaborado por el área de
sistemas.

Virus informático: Se tiene instalado en equipos y servidores el software antivirus

Bitdefender.

Fallas humanas: Cada dependencia cuenta con personal idóneo en las actividades,
adicional se capacita a los colaboradores en la manejo de las herramientas que
utiliza la organización.

Movimientos telúricos, El cuarto de comunicaciones está hecho de material fuerte,

pero no es posible asegurar que no sea vulnerable frente a un hecho de gran
magnitud.

Accesos no autorizados: Toda dependencia cuenta con puerta y cerradura, también

se tiene alarma con sensores de apertur de puertas y movimiento en todas las
dependencias.

Hurto de información: Las computadoras cuentan con credenciales de acceso

mediante usuario y contraseña, el sistema operativo está parametrizado para que se
bloquee cuando no se está usando por un periodo de tiempo, adicional los
documentos desechos se rompen con maquina pica papel.

Recuperación de información

Se plantean las opciones más viables para proceder en caso de un desastre y se

analizan los aspectos más relevantes de la organización, allí se incluyen hardware,
software, sistemas de comunicaciones, bases de datos, archivos e infraestructura.
Las opciones a tomar varían de acuerdo a la función del equipo y pueden incluir
backups del centros de datos, alquiler de la infraestructura, almacenamientos en la
nube. Todo ésto es de analizar por temas de costos.
La información más relevante que se debe proteger de cada dependencia se lista a
continuación: infraestructura técnica y sus respectivos inventarios, copias de
seguridad de software y datos creados por los usuarios. Para que se tenga certeza
de las medidas de protección se debe realizar una lista de chequeo por cada uno los
los ítems que se tengan.

El plan debe ser respaldado por la gerencia. Este documento organiza los
procedimientos, identifica las etapas importantes, elimina redundancias y define el
plan de trabajo. La persona o personas que escriban el plan deben detallar cada
procedimiento, tomando en consideración el mantenimiento y la actualización del
plan a medida que el negocio evoluciona. Plan de recuperación del desastre y
respaldo de la información

El primer paso para la ejecución del plan en caso de dasastre, es la identificación de

las personas que serán las responsables de crear el plan y coordinar las
actividades. Estas personas pueden ser: Colaboradores del área de IT, o el personal
contratado para este tipo de situaciones.

Las actividades a ejecutar en un plan de recuperación ante desastres se clasifican

en tres etapas:

- Previas al Desastre.
- Durante el Desastre.
- Después del Desastre.

Previas al desastre.

Son las actividades iniciales donde se plantean los procedimiento, preparación,

entrenamiento y ejecución de actividades de resguardo de la información, que a su
vez facilita el proceso de recuperación con el menor costo para la organización.

Durante el desastre.

En caso de que de que se puedan salvar equipos con información vital, es necesario
poner en marcha las actividades que se tengan planeadas, por ejemplo: tratar de
salvar los servidores o equipo con información vital.

Después del Desastre.

Es donde se pone en marcha el plan, donde se deben ejecutar los procedimientos
estipulados previamente.

Planteamientos del plan de acción

En esta fase de planeamiento se establecen los procedimientos asociados a:

Software y la información que allí se crea.
Equipos, computadores y servidores.
Obtención y almacenamiento de las copias de seguridad de Información.
Políticas orientadas a las normas y los procedimientos para las copias de
seguridad).

Sistemas de Información

La Organización debe tener un listado de los sistemas de información que utiliza los
cuales pueden ser desarrollos in house o software de casas comerciales o incluso
software libre.

A continuación se lista los aplicativos de uso con los que cuenta la organización:

Sistema de información administrativa y financiera: Es el sistema de información

asociado a la administración del presupuesto anual, allí se registran las operaciones
en relación a gastos e ingresos públicos.

Sistema de gestión documental: Sistema de información en el cual se lleva el

registro y seguimiento a los documentos, es utilizado por todas las dependencias..

Sistema de información predial: Allí se lleva el registro, generación y todo lo

relacionado con el impuesto predial, es utilizado la secretaría de hacienda.

Sistema de gestión humana: Es utilizado por la oficina de recursos humanos, allí se

llevan todos los registros en relación a el personal de la organización.

Equipos de Cómputo.

Sistemas de telefonía: teléfonos IP.

Sistema de comunicaciones
Correo Institucional

Sistema antivirus y Firewall.

Sistema de filtro de contenidos (proxy)

Servicios Web: Página web, Internet, Intranet.

Por otro lado también se debe tener el listado completo del hardware adicional,
entre ellos podemos nombrar a: Equipos de impresión, scanner, fax entre otros
otros, describiendo la ubicación el software que utilizan, ubicación y nivel de uso
institucional.

Es necesario identificar y tener bien relacionado la protección de los equipos:

Para esto se recomienda tener pólizas de seguros, como parte de la protección de

los activos de la organización y considerando una restitución con equipos de mayor
potencia, teniendo en cuenta la depreciación en el transcurso del tiempo.

información que se procesa o almacena, todo esto con el objetivo de dar prioridad
en caso de evacuación. Nivel 1 servidores, Nivel 2 Equipos con información de vital
importancia y el Nivel 3 serían los equipos que no manejan información relevante.

Realizar marcación de los equipos de acuerdo al nivel de importancia, valor de de la

Mantenimiento actualizado del inventario de los equipos de cómputo requerido como
mínimo para el funcionamiento permanente de cada sistema en la institución.

Copias de seguridad de la información.

Es fundamental tener un procedimientos para la extracción de las copias de

seguridad de la información y los programas que utiliza la organización con el bjetivo
de asegurar la correcta ejecución de los sistemas en la institución, las copias de
seguridad son las siguientes:

Copias de seguridad de los datos: Base de datos y archivos fundamentales de las

dependencias.

Copias de seguridad de los aplicativos: Copias de los códigos fuentes y los

ejecutables.

Copias de los sistema operativo: De todas las versiones tanto de servidores como
de estaciones de trabajo.
Copia de los software de programación: Lenguajes de Programación utilizados en el
desarrollo de los aplicativos de la organización.

Copia de la infraestructura física, normalmente se puede manejar dentro la la

institución o por medio de un tercero:

Dentro de la institución:

Cuando se tiene otro espacio y adicional equipos de backup, se deben tener

marcados cuales equipos son destinados en caso de emergencia cabe anotar que
los equipos deben contar con las características plenas para funcionar con toda
normalidad.

Fuera de la institución:

Es cuando se maneja un contrato con una empresa la cual presta estos servicios
también cabe anotar que en el contrato se deben especificar las características de
los equipos a los cuales se les va a tener de backup, ya es muy común que estos
tipos de servicios los encontramos en la nube.
Políticas para el procedimientos de copias de seguridad:

Se deben establecer los procedimientos, normas y asignación de responsabilidades

en la generación de las copias de seguridad. Fundamental tener en cuenta:

Periodicidad de cada copia: Las copias de los sistemas informáticos se realizan de

manera diferente:

Sistema de información administrativa y financiera: Se realiza copia diaria de la base

de datos y de los demás elementos se realiza semanal.

Sistema de ingresos y recaudos: Copia diaria programada en la base de datos

Sistema de gestión documental: Copia diaria programada en la base de datos.

Sistema de gestión humana: Copia manual semanal.

Servicios web: Copia manual semanal.

Es necesario tener la lista de chequeo en la cual se lleve el control de las copias,

adicional se deben verificar periódicamente para identificar si se están haciendo de
la forma correcta .
El almacenamiento de las copias deben estar en condiciones ambientales óptimas,
dependiendo del medio magnético utilizado.

Reemplazo de las copias se realizará de forma periódica, previniendo que el medio

de almacenamiento se deteriore es fundamental tener presente que los dispositivos
y medios tienen un periodo de vida útil, el cual debe estar bien identificado.

Almacenamiento de las copias en sitios diferentes donde se está laborando, es

necesario tener presente que se debe evitar la pérdida si el desastre alcanzó toda la
organización.

Este Ítem se cumple con la información histórica, es decir se tiene distribuidos las
copias de la siguiente manera:
Una copia reside en las instalaciones de la alcaldía, y una segunda copia reside en
la oficina que genera la información.

Pruebas periódicas de las copias, se deben verificar su funcionalidad, a través de

los sistemas comparando los resultados anteriormente versus los de producción.

Criterios y procedimientos de prueba del plan

Según las recomendaciones de diversas organizaciones informáticas se indica que
los planes de recuperación deben ser verificados en su totalidad por lo menos una
vez al año. La documentación debe especificar los procedimientos y la frecuencia
con que se realizan las pruebas. Las razones principales para probar el plan son:
verificar la validez y funcionalidad del plan, determinar la compatibilidad de los
procedimientos e instalaciones, identificar áreas que necesiten cambios, entrenar a
los empleados y demostrar la habilidad de la organización de recuperarse de un
desastre.

Después de la verificación de las pruebas el plan debe ser retroalimentado. Se

sugiere que la prueba original se realice en horas que minimicen trastornos en las
operaciones. Una vez demostrada la funcionalidad del plan, se debe hacer pruebas
adicionales donde todos los empleados tengan acceso virtual y remoto a estas
posiciones y funciones en el caso de un desastre. “Un plan sin probar es igual que
no tener un plan.

Aprobación final

Después de que el plan haya sido puesto a prueba y corregido, la gerencia deberá
aprobarlo. La gerencia es la encargada de establecer las pólizas, los procedimientos
y responsabilidades en caso de contingencia, y de actualizar y dar el visto al plan
anualmente. A la vez, sería recomendable evaluar los planes de contingencia de
proveedores externos.

El plan de recuperación ante desastres debe ser considerado un seguro

fundamental. A pesar de que requiere una cantidad considerable de recursos y
dedicación, es una herramienta vital para la supervivencia de las organizaciones.