Se considera las actividades de planteamiento, preparación, entrenamiento y ejecución de actividades de resguardo de la información, que aseguraran un proceso de recuperación con el menor costo posible para la institución.
Establecimientos del Plan de Acción
En esta fase de planeamiento se establece los procedimientos relativos a:
a. Sistemas e Información.
b. Equipos de Cómputo.
c. Obtención y almacenamiento de los Respaldos de Información (BACKUPS).
d. Políticas (Normas y Procedimientos de Backups).
a. Sistemas de Información
La Institución deberá tener una relación de los Sistemas de Información con los que cuenta, tanto los de desarrollo propio, como los desarrollados por empresas externas.
Se debe tener en cuenta el catastro de Hardware, impresoras, lectoras, scanner, ploters, modems, fax y otros, detallando su ubicación (software que usa, ubicación y nivel de uso institucional).
Se debe emplear los siguientes criterios sobre identificación y protección de equipos:
Pólizas de seguros comerciales, como parte de la protección de los activos institucionales y considerando una restitución por equipos de mayor potencia, teniendo en cuenta la depreciación tecnológica.
Señalización o etiquetamiento de las computadoras de acuerdo a la importancia de su contenido y valor de sus componentes, para dar prioridad en caso de evacuación. Por ejemplo etiquetar de color rojo los servidores, color amarillo a los PC con información importante o estratégica, y color verde a las demás estaciones (normales, sin disco duro o sin uso).
Mantenimiento actualizado del inventario de los equipos de cómputo requerido como mínimo para el funcionamiento permanente de cada sistema en la institución.
c. Obtención y almacenamiento de Copias de Seguridad (Backups)
Se debe contar con procedimientos para la obtención de las copias de seguridad de todos los elementos de software necesarios para asegurar la correcta ejecución de los sistemas en la institución. Las copias de seguridad son las siguientes:
Backup del Sistema Operativo: o de todas las versiones de sistema operativo instalados en la Red.
Backup de Software Base: (Lenguajes de Programación utilizados en el desarrollo de los aplicativos institucionales).
Backup del software aplicativo: backups de los programas fuente y los programas ejecutables.
Backups de los datos (Base de datos, passsword y todo archivo necesario para la correcta ejecución del software aplicativos de la institución).
Backups del Hardware, se puede implementar bajo dos modalidades:
Modalidad Externa: mediante el convenio con otra institución que tenga equipos similares o mejores y que brinden la capacidad y seguridad de procesar nuestra información y ser puestos a nuestra disposición al ocurrir una continencia mientras se busca una solución definitiva al siniestro producido.
En este Caso se debe definir claramente las condiciones del convenio a efectos de determinar la cantidad de equipos, periodos de tiempo, ambientes, etc., que se puede realizar con la entidad que cuente con equipo u mantenga un Plan de Seguridad de Hardware.
Modalidad Interna: si se dispone de mas de un local, en ambos se debe tener señalado los equipos, que por sus capacidades técnicas son susceptibles de ser usados como equipos de emergencia.
Es importante mencionar que en ambos casos se debe probar y asegurar que los procesos de restauración de información posibiliten el funcionamiento adecuado de los sistemas.
d. Políticas (Normas y Procedimientos)
Se debe establecer procedimientos, normas y determinación de responsabilidades en la obtención de los “Backups” o Copias de Seguridad. Se debe considerar:
Periodicidad de cada tipo de backup: los backups de los sistemas informáticos se realizan de manera diferente:
Sistema Integrado de Gestión Académico: en los procesos académicos de Inscripción de curso y registro de Actas se realiza backup diario, para los demás periodos se realiza el backup semanal.
Sistema de Ingresos: backup diario
Sistema Integrado de Administración Financiera (SIAF): backup semanal
Sistema de Tramite Documentario: backup diario.
Sistema de Abastecimientos: backup semanal
Sistema de Control de Asistencia del personal: backup semanal.
Sistema de Banco de Preguntas: backup periodo examen.
Respaldo de información de movimiento entre los periodos que no se sacan backups: días no laborales, feriados, etc. en estos días es posible programar un backup automático.
Uso obligatorio de un formulario de control de ejecución del programa de backups diarios, semanales y mensuales: es un control a implementar, de tal manera de llevar un registro diario de los resultados de las operaciones del backups realizados y su respectivo almacenamiento.
Almacenamiento de los backups en condiciones ambientales optimas, dependiendo del medio magnético empleando.
Reemplazo de los backups, en forma periódica, antes que el medio magnético de soporte se pueda deteriorar. No se realiza reemplazos pero se realiza copias de las mismas, considerando que no se puede determinar exactamente el periodo de vida útil del dispositivo donde se ha realizado el backup.
Almacenamiento de los backups en locales diferentes donde reside la información primaria (evitando la pérdida si el desastre alcanzo todo el edificio o local). Esta norma se cumple con la información histórica, es decir se tiene distribuidos los backups de la siguiente manera: una copia reside en las instalaciones del CIT, y una segunda copia reside en la Oficina que genera la información.
Pruebas periódicas de los backups (Restore), verificando su funcionalidad, a través de los sistemas comparando contra resultados anteriormente confiables. Esta actividad se realizara haciendo una comparación entre el contenido de la primera y segunda copia realizada o con el contenido de la información que se encuentra el Servidor de información histórica.
Razones para recurrir a un DRP
Existen diferentes riesgos que pueden impactar negativamente las operaciones normales de una organización. Una evaluación de riesgo debería ser realizada para ver que constituye el desastre y a que riesgos es susceptible una empresa específica, incluyendo:
• Catástrofes.
• Fuego.
• Inundaciones.
• Fallas de energía.
• Ataques terroristas.
• Interrupciones organizadas o deliberadas.
• Sistema y/o fallas de equipo.
• Error humano.
• Virus informáticos.
• Cuestiones legales.
• Huelgas de empleados.
Establecimientos del Plan de Acción
En esta fase de planeamiento se establece los procedimientos relativos a:
a. Sistemas e Información.
b. Equipos de Cómputo.
c. Obtención y almacenamiento de los Respaldos de Información (BACKUPS).
d. Políticas (Normas y Procedimientos de Backups).
a. Sistemas de Información
La Institución deberá tener una relación de los Sistemas de Información con los que cuenta, tanto los de desarrollo propio, como los desarrollados por empresas externas.
Se debe tener en cuenta el catastro de Hardware, impresoras, lectoras, scanner, ploters, modems, fax y otros, detallando su ubicación (software que usa, ubicación y nivel de uso institucional).
Se debe emplear los siguientes criterios sobre identificación y protección de equipos:
Pólizas de seguros comerciales, como parte de la protección de los activos institucionales y considerando una restitución por equipos de mayor potencia, teniendo en cuenta la depreciación tecnológica.
Señalización o etiquetamiento de las computadoras de acuerdo a la importancia de su contenido y valor de sus componentes, para dar prioridad en caso de evacuación. Por ejemplo etiquetar de color rojo los servidores, color amarillo a los PC con información importante o estratégica, y color verde a las demás estaciones (normales, sin disco duro o sin uso).
Mantenimiento actualizado del inventario de los equipos de cómputo requerido como mínimo para el funcionamiento permanente de cada sistema en la institución.
c. Obtención y almacenamiento de Copias de Seguridad (Backups)
Se debe contar con procedimientos para la obtención de las copias de seguridad de todos los elementos de software necesarios para asegurar la correcta ejecución de los sistemas en la institución. Las copias de seguridad son las siguientes:
Backup del Sistema Operativo: o de todas las versiones de sistema operativo instalados en la Red.
Backup de Software Base: (Lenguajes de Programación utilizados en el desarrollo de los aplicativos institucionales).
Backup del software aplicativo: backups de los programas fuente y los programas ejecutables.
Backups de los datos (Base de datos, passsword y todo archivo necesario para la correcta ejecución del software aplicativos de la institución).
Backups del Hardware, se puede implementar bajo dos modalidades:
Modalidad Externa: mediante el convenio con otra institución que tenga equipos similares o mejores y que brinden la capacidad y seguridad de procesar nuestra información y ser puestos a nuestra disposición al ocurrir una continencia mientras se busca una solución definitiva al siniestro producido.
En este Caso se debe definir claramente las condiciones del convenio a efectos de determinar la cantidad de equipos, periodos de tiempo, ambientes, etc., que se puede realizar con la entidad que cuente con equipo u mantenga un Plan de Seguridad de Hardware.
Modalidad Interna: si se dispone de mas de un local, en ambos se debe tener señalado los equipos, que por sus capacidades técnicas son susceptibles de ser usados como equipos de emergencia.
Es importante mencionar que en ambos casos se debe probar y asegurar que los procesos de restauración de información posibiliten el funcionamiento adecuado de los sistemas.
d. Políticas (Normas y Procedimientos)
Se debe establecer procedimientos, normas y determinación de responsabilidades en la obtención de los “Backups” o Copias de Seguridad. Se debe considerar:
Periodicidad de cada tipo de backup: los backups de los sistemas informáticos se realizan de manera diferente:
Sistema Integrado de Gestión Académico: en los procesos académicos de Inscripción de curso y registro de Actas se realiza backup diario, para los demás periodos se realiza el backup semanal.
Sistema de Ingresos: backup diario
Sistema Integrado de Administración Financiera (SIAF): backup semanal
Sistema de Tramite Documentario: backup diario.
Sistema de Abastecimientos: backup semanal
Sistema de Control de Asistencia del personal: backup semanal.
Sistema de Banco de Preguntas: backup periodo examen.
Respaldo de información de movimiento entre los periodos que no se sacan backups: días no laborales, feriados, etc. en estos días es posible programar un backup automático.
Uso obligatorio de un formulario de control de ejecución del programa de backups diarios, semanales y mensuales: es un control a implementar, de tal manera de llevar un registro diario de los resultados de las operaciones del backups realizados y su respectivo almacenamiento.
Almacenamiento de los backups en condiciones ambientales optimas, dependiendo del medio magnético empleando.
Reemplazo de los backups, en forma periódica, antes que el medio magnético de soporte se pueda deteriorar. No se realiza reemplazos pero se realiza copias de las mismas, considerando que no se puede determinar exactamente el periodo de vida útil del dispositivo donde se ha realizado el backup.
Almacenamiento de los backups en locales diferentes donde reside la información primaria (evitando la pérdida si el desastre alcanzo todo el edificio o local). Esta norma se cumple con la información histórica, es decir se tiene distribuidos los backups de la siguiente manera: una copia reside en las instalaciones del CIT, y una segunda copia reside en la Oficina que genera la información.
Pruebas periódicas de los backups (Restore), verificando su funcionalidad, a través de los sistemas comparando contra resultados anteriormente confiables. Esta actividad se realizara haciendo una comparación entre el contenido de la primera y segunda copia realizada o con el contenido de la información que se encuentra el Servidor de información histórica.
Razones para recurrir a un DRP
Existen diferentes riesgos que pueden impactar negativamente las operaciones normales de una organización. Una evaluación de riesgo debería ser realizada para ver que constituye el desastre y a que riesgos es susceptible una empresa específica, incluyendo:
• Catástrofes.
• Fuego.
• Inundaciones.
• Fallas de energía.
• Ataques terroristas.
• Interrupciones organizadas o deliberadas.
• Sistema y/o fallas de equipo.
• Error humano.
• Virus informáticos.
• Cuestiones legales.
• Huelgas de empleados.
No hay comentarios:
Publicar un comentario