10 claves para una adecuada recuperacin ante desastres

En la gestin de la seguridad hay un captulo de especial importancia. Este captulo es el que habla de recuperacin ante
desastres, un concepto que tiene que ir asociado de una manera biyectiva a otro concepto de igual inters en el
gobierno de la seguridad. La continuidad de los negocios.
Estos parmetros toman cada vez ms cuerpo. Recientemente hemos visto cmo se ha propuesto un modelo de
normativa ISO cuya denominacin ser ISO/IEC 27006 "Guidelines for information and communications technology
disaster recovery services", especficamente orientada a la continuidad y a la recuperacin, proporcionando guas
especficas para los servicios
de recuperacin ante desastres, bien sean propios o externos. Esto no hace ms que refrendar la teora de que los
modelos de gestin estn cada vez ms orientados a la seguridad de la informacin, como nico mecanismo garante de
que los procesos que reposan en las tecnologas de la informacin posean el tratamiento ptimo, en aras del beneficio
conjunto de todo el mapa de procesos de la organizacin. Se prev que ISO/IEC 27006 aparezca en torno a noviembre
de 2007, y por lo que se puede ver en el borrador, se percibe una fuerte impregnacin de la norma SS507 - Singapore
Standards for Business Continuity/Disaster Recovery (BC/DR) Service Providers.En Hispasec hemos hablado
anteriormente sobre planes de recuperacin y continuidad. No vamos a extendernos ms en las definiciones tericas que
ya propusimos en nuestros boletines nmeros 2278 y 2540, enlazados al pie. El objetivo de este boletn es incidir en
medidas prcticas asociadas a los conceptos de recuperacin y continuidad. Para ello hemos preparado un declogo
de acciones que pueden ayudarle a plantear el problema de una manera ms cmoda y accesible. Son slo algunas
acciones bsicas, que deben siempre complementarse con un plan especfico diseado y gestionado por expertos para
cada caso, y estn basadas en los artculos propuestos en el captulo de "ms informacin"1.- Probar las copias de
seguridad. Por obvio que resulte, las copias slo tienen utilidad cuando pueden ser restauradas. Es recomendable que
las organizaciones dediquen al menos un equipo a modo de "sandbox" o caja de arena de pruebas especficas de
verificacin de copias de respaldo, y que eventualmente, con una periodicidad programada, se verifiquen estas copias.2.
Escoja su software de backup con criterio. Elegir un sistema de copia y restauracin puede requerir la intervencin de un
experto, sobre todo en entornos heterogneos. Piense en la disponibilidad y en los tiempos cortos de recuperacin como
un activo rentable y extremadamente interesante. No tenga miedo a invertir en estos conceptos, bien sea en licencias,
bien sea en servicios o en ambos.3. Con una periodicidad adecuada, por ejemplo, semanalmente, desplace las copias
de seguridad a sitios externos a la organizacin, de modo que prevenga as incidentes localizados, como robos,
incendios, inundaciones, etc. Dentro de la organizacin opte por armarios ignfugos para la conservacin como medida
mnima de proteccin de las copias. Dejarlas en lo alto del servidor o de una mesa no es la eleccin ms adecuada en
ninguno de los casos.4. Una medida interesante para prevenir la indisponibilidad y la gran mayora de los problemas
puede ser el aislamiento de las mquinas. Disponer de cuartos especficos bajo llave donde ubicar los sistemas reduce
mucho el riesgo de daos accidentales o intencionados. Las mquinas deben estar preferentemente en entornos
climatizados y controlados, y a ser posible, en armarios tipo rack o equivalentes homologados, con un grado de
proteccin adecuado en lo relativo a incendios, humedades y otros parmetros de catstrofe similares.5. Escoger la
ubicacin de la sala de mquinas puede ser tan sencillo como contemplar que no haya en las cercanas redes de
fontanera ni desage, y que las tomas elctricas existentes sean seguras y cercanas a la acometida, por si fuera
necesario ampliar o sustituir el abastecimiento. Otro factor de inters, siempre que sea posible, es la proximidad a los
sistemas contraincendios. La proximidad a sistemas de evacuacin de emergencia, climatizacin y ventilacin son tambin
interesantes para ubicar la sala de mquinas. Procure por ltimo que la sala sea fcilmente accesible por mtodos
de transporte, como carretillas y elevadores, y que el/los montacargas, en caso de altura, no estn lejos 6. A la hora de
mesurar potenciales riesgos, no escatime ninguno. Por desgracia en su oficina puede pasar de todo. Puede incendiarse,
inundarse o puede ser forzada por vndalos. Evite pensar que incidentes como los acontecidos en el edificio Windsor o
los sufridos por multitud de ISPs en Nueva Orleans (vase el caso Directnic) con el huracn Katrina son imposibles en
su ubicacin. Cualquier dao que pueda imaginar por cualquier causa imaginable es una fuente de riesgo ante la
recuperacin. Obviamente, corresponde al gestor de seguridad balancear probabilidades y asignar pesos y
probabilidades. Es obvio que el impacto de un avin en un edificio de oficinas no es igual de probable (por fortuna) que la
rotura de una caera, ni tampoco es probable que si ubica un ISP en un lugar con fuerte desertizacin acabe con
problemas de humedades, pero de entrada no descarte absolutamente nada.7. Comunique las acciones a tomar para
todos los posibles incidentes. No sirve de nada tener los planes guardados en un cajn, y no sirve de nada un plan que
no sea conocido por todos los estamentos implicados. La recuperacin ante incidentes es un trabajo en equipo y es
absolutamente necesario que todos los elementos de la cadena estn perfectamente documentados sobre las tareas a
realizar en cada caso.8. La recuperacin requiere obligatoriamente que el personal implicado en todas y cada una de las
fases conozca todas las metodologas y tecnologas disponibles para tales efectos. Es un campo donde la formacin
continua de los asalariados es una garanta de xito. Muchas veces el material de estudio de este tipo de sistemas est
en lengua fornea. Debe tenerse la mnima formacin por parte de todos para comprender estos trminos forneos, en
lengua inglesa principalmente, por ejemplo, para interpretar correctamente referencias en un memorando o email sobre
BC/DR para hacer alusin al Business Continuity/Disaster Recovery (Continuidad del negocio/Recuperacin ante el
desastre)9. Si sus recursos se lo permiten, ejecute de vez en cuando simulacros. Los simulacros que aportan informacin
til son aquellos en los que no se avisa, y donde es factible obtener informacin sobre el proceso de recuperacin. Tirar
del cable de un servidor en produccin puede ser una prueba muy directa para verificar si la rueda de recuperacin est
bien engrasada.10. Tome todos los datos anteriores, y elabore una posible secuencia temporal. Pongamos un ejemplo:
Si se rompe una tubera y se moja un servidor, puede que la placa madre se queme. Tanto si se quema como si
aparentemente no hay daos, hay que avisar a cierta persona, cuyo telfono de urgencia es A, cuya responsabilidad
http://gseguridad.unicauca.edu.co - Seguridad Informtica

Powered by Mambo

Generated: 13 September, 2009, 22:05

es el mantenimiento de las mquinas. En caso de quemado, se debe localizar en el almacn una placa equivalente,
cuyo modelo es B. Si no hay placas en el almacn, debemos llamar al proveedor C, el cual est informado de nuestro
inventario, para proceder a su pronta adquisicin. Es preciso igualmente avisar al servicio de mantenimiento del edificio,
localizables 24 horas en el telfono D y dar parte de la avera. Por ltimo, el equipo E levantar el equipo que ha
quedado inutilizado y har las verificaciones oportunas que certifiquen que la recuperacin es un xito. La incidencia la
catalogaremos completa y la almacenaremos en nuestro catlogo de incidencias, para reutilizaciones futuras. Con
todos estos datos, el gestor de seguridad analizar lo sucedido y buscar maneras de optimizar el procedimiento de
recuperacin, informando igualmente de las responsabilidades que deriven del incidente a la alta direccin.Una vez haya
unido todas las posibles fuentes de problemas y sus soluciones, habr elaborado un plan de recuperacin. Priorice las
partes del negocio sujetas a potencial indisponibilidad o ruptura para ordenarlas en importancia, ya que debe
recuperarse primero lo que ms rentable o vital sea para la organizacin. Esto es lo que hace indispensable que el plan
emane de la alta direccin, porque es la alta direccin la que sabe qu es ms necesario para mantener la continuidad y
qu componentes del esquema tienen ms peso en la rentabilidad global de la empresa. La alta direccin es la nica
cualificada para establecer este tipo de prioridades, con lo que estos planes deben surgir de los altos estratos para ser
diseminados posteriormente por la organizacin, al igual que se hace con cualquier sistema de gestin.Un plan de
recuperacin es, a fin de cuentas, un instrumento para ofrecer respuestas metdicas, congruentes y fras en situaciones
anrquicas, incongruentes y muy calientes, situaciones en las que a veces la prioridad es salvar la vida y preocuparse
despus de qu ha pasado con los racks, los monitores y los ordenadores. El ser humano, humano es, y si tenemos la
mala fortuna de estar envueltos en humo, o si tenemos que salir de la oficina con el agua por las rodillas a causa de una
inundacin, lo menos probable es que estemos al 100% para poder tomar las decisiones adecuadas para la salvaguarda
de la continuidad.Para eso est el plan de recuperacin.Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2740/comentarMs informacin:Seis consejos bsicos para recuperarse frente a
contingencias
http://seguridad-de-la-informacion.blogspot.com/2006/04/seis-consejos-bsicos-para-recuperarse.htmlTop six steps
toward disaster recovery
http://www.computerworld.com/securitytopics/security/recovery/story/0,10801,110604,00.htmlPlanes de recuperacin ante
desastres
http://www.hispasec.com/unaaldia/2540Planes de contingencia y continuidad
http://www.hispasec.com/unaaldia/2278
Sergio Hernando
shernando@hispasec.com

http://gseguridad.unicauca.edu.co - Seguridad Informtica

Powered by Mambo

Generated: 13 September, 2009, 22:05