PLAN DE CONFIGURACIN Y RECUPERACIN ANTE DESASTRES PARA EL

SMBD.

JAIRO ALEXANDER MORA JURADO

SERVICIO NACIONAL DE APRENDIZAJE, SENA

GESTION Y SEGURIDAD DE BASE DE DATOS
MOCOA
2015

PLAN DE CONFIGURACIN Y RECUPERACIN ANTE DESASTRES PARA EL

SMBD.

JAIRO ALEXANDER MORA JURADO

APRENDIZ

Instructores:
BLANCA ARAUJO TORRES
GLORIA CORCHUELO BUITRAGO
EDGAR FORERO GRANADOS

SERVICIO NACIONAL DE APRENDIZAJE, SENA

GESTION Y SEGURIDAD DE BASE DE DATOS
MOCOA
2015

INTRODUCCION

Las organizaciones siempre el cambio y la adaptacin a los nuevos contextos que

se presentan cada da, en la actualidad las operaciones diarias y cotidianas se
realizan con tecnologas de la informacin porque estas automatizan los procesos
garantizando una mejor eficiencia y eficacia de respuesta, pero algunas veces
estas operaciones no se planean correctamente lo que puede conllevar a un caso
de desastre. Por tal razn, el Disaster Recovery Plan (DRP), es de vital
importancia porque este permite a las empresas reaccionar ante cualquier tipo de
amenaza a sus actividades internas o externas.
Cuando se habla de algn desastre no aplica solamente a catstrofes naturales
como lo es un terremoto, inundacin, huracn o fenmeno similar que paralizan
una regin, sino tambin a la inexperiencia de un usuario que desconecta una
base de datos, o por algn tubo de agua que afecte la conectividad y la
disponibilidad del internet, tambin puede suceder una sbita cada del servicio de
energa tan comn en nuestro entorno tradicional.
Por infinitas razones en el mundo cotidiano las redes de cualquier empresa
pueden sufrir un incidente que afecte la continuidad del servicio ofrecido,
dependiendo como se gestione el incidente se pueden minimizar las
consecuencias.

PLAN DE CONFIGURACIN Y RECUPERACIN ANTE DESASTRES PARA EL

SMBD.

Como objetivo de esta actividad se debe analizar y comprender los incidentes que
se pueden presentar que afectan directamente la integridad de la organizacin.
Usando un plan de continuidad para as lograr siempre tener a salvo los activos de
la organizacin.
Qu es posible hacer en DRP?

Conservar la estabilidad de la informacin protegiendo instalaciones y

recursos del centro de informacin.
Recuperar desastres en cuestin de minutos despus de cualquier evento
que signifique riesgo o crisis potencial para una empresa.
Aprovechar la posibilidad de establecer el tiempo en que debe recuperarse
los datos.(RTO)
Restablecer los niveles de actualizacin de los datos, segn su tipo.(RPO)

A travs de Amazon Web Services (AWS) es posible habilitar modelos de DRP

rpidamente y a bajo costo, gracias a que ofrece servicios instantneos, rpidos, y
adems permite generar ambientes aislados para la realizacin de las pruebas
necesarias del sistema de la informacin sin afectar al usuario final. Una de sus
grandes ventajas es la reduccin de costos al estar en la nube (ver grfico) y la
garanta de que la informacin est encriptada en un espacio propio e
impenetrable por terceros.
Se deben tener en cuenta unos elementos esenciales para que un plan de
recuperacin ante desastres sea slido.
Como primer paso se debe definir de una forma concreta el plan de recuperacin
ante desastres involucrando a la gerencia. Ellos son los responsables de su
coordinacin y deben asegurar siempre la efectividad. Adicionalmente, deben
proveer los recursos necesarios para un desarrollo efectivo de este plan. Todos los
departamentos de la organizacin participan en la definicin del plan.
Establecer las probabilidades de los desastres naturales o causados por errores
humanos. Por esta razn se realiza un anlisis de riesgo y crear una lista para que
cada departamento analice las posibles consecuencias y el impacto relacionado
con cada tipo de desastre. Esto servir como referencia para identificar lo que se
necesita incluir en el plan. Con un plan completo reduce de forma notable la
prdida total del centro de datos y eventos de larga duracin de ms de una
semana.

Luego de definir claramente estas necesidades por departamento, se les asigna

una prioridad. Esto es importante, porque ninguna compaa tiene recursos
infinitos. Los procesos y operaciones son analizados para determinar la mxima
cantidad de tiempo que la organizacin puede sobrevivir sin ellos. Se establece un
orden de recuperacin segn el grado de importancia. Esto se define como el
Recovery Time Objective, Tiempo de Recuperacin o RTO. Otro trmino
importante es el Recovery Point Objective, Punto de Recuperacin o RPO.
En la etapa de seleccin de estrategias de recuperacin se determinan todas las
alternativas ms prcticas para proceder al escoger el plan anti desastres. Todos
los aspectos de la organizacin son analizados, incluyendo hardware, software,
comunicaciones, archivos, bases de datos, instalaciones, etc. Las alternativas a
considerar varan segn la funcin del equipo y pueden incluir duplicacin de
centros de datos, alquiler de equipos e instalaciones, contratos de
almacenamiento y muchas ms. Igualmente, se analiza los costos asociados.
Para VMware, la virtualizacin constituye un avance considerable al aplicarse en
el Plan de Recuperacin ante Desastres (DRP). Para garantizar eficiencia,
flexibilidad, implementacin e incluso reduccin de costos.
Considerar componentes realmente esenciales a proteger como lo son listas de
inventarios, copias de seguridad de datos y de software, documentacin y todas
las cosas ms relevantes, la creacin previa de plantillas de verificacin ayuda a
simplificar este proceso.
Un resumen del plan debe ser respaldado por la gerencia. Este documento
organiza los procedimientos, identifica las etapas importantes, elimina
redundancias y define el plan de trabajo. La persona o personas que escriban el
plan deben detallar cada procedimiento, tomando en consideracin el
mantenimiento y la actualizacin del plan a medida de que el negocio evoluciona.
El plan asigna responsabilidad a diferentes equipos / departamentos y alternos.
Criterios y procedimientos de prueba del plan
La experiencia indica que los planes de recuperacin deben ser probados en su
totalidad por lo menos una vez al ao. La documentacin debe especificar los
procedimientos y la frecuencia con que se realizan las pruebas. Las razones
principales para probar el plan son: verificar la validez y funcionalidad del plan,
determinar la compatibilidad de los procedimientos e instalaciones, identificar
reas que necesiten cambios, entrenar a los empleados y demostrar la habilidad
de la organizacin de recuperarse de un desastre.
Despus de las pruebas el plan debe ser actualizado. Se sugiere que la prueba
original se realice en horas que minimicen trastornos en las operaciones. Una vez
demostrada la funcionalidad del plan, se debe hacer pruebas adicionales donde

todos los empleados tengan acceso virtual y remoto a estas posiciones y

funciones en el caso de un desastre.
Despus de que el plan haya sido puesto a prueba y corregido, la gerencia deber
aprobarlo esto es la aprobacin final. Ellos son los encargados de establecer las
plizas, los procedimientos y responsabilidades en caso de contingencia, y de
actualizar y dar el visto al plan anualmente. A la vez, sera recomendable evaluar
los planes de contingencia de proveedores externos.
Para evitar incidentes en la configuracin e instalacin se debe considerar lo
siguiente:

Configurar e instalar el hardware necesario. Para el correcto funcionamiento

del SGBD. Eso incluye ampliar memoria, discos duros, adems de
configurarles para su ptimo rendimiento. Tambin la gestin mnima del
sistema operativo para que la base de datos funcione correcta y
rpidamente.
Instalacin y mantenimiento del SGBD. Seleccionando la ms adecuada
forma de instalacin y configurando lo necesario para su ptimo
rendimiento acorde con las necesidades, as como realizar las
actualizaciones del sistema que sean necesarias.
Crear las estructuras de almacenamiento de la base de datos. Es quiz la
tarea que de forma ms habitual se relaciona con los DBA. Consiste en
crear y configurar las estructuras fsicas y los elementos lgicos que
permitan un rendimiento optimizado de la base de datos.
Crear y configurar la base de datos. Creacin de la estructura interna de la
base de datos (tablas, usuarios, permisos, vistas,). Es otra de las tareas
ms habitualmente relacionadas con el DBA y la primera fase en
administracin de una base de datos.
Control de los usuarios y los permisos. En definitiva establecer las polticas
de seguridad tan imprescindibles en toda base de datos.
Monitorizar y optimizar el rendimiento de la base de datos. Un DBA debe
detectar los cuellos de botella del sistema y actuar en consecuencia. Esto
incluye optimizar las instrucciones SQL por lo que implica asistir a los
desarrolladores para que utilicen las instrucciones ms eficientes sobre las
bases de datos.
Realizar tareas de copia de seguridad y recuperacin. Quiz la tarea ms
crtica. Consiste en realizar acciones para en caso de catstrofe poder
recuperar todos los datos

Gestin de copias de seguridad. Una de las funciones crticas de la base de datos

ya que permite la recuperacin de informacin en caso de problemas.

Aplicaciones de exportacin e importacin de datos. Para poder utilizar datos de

otros SGBD u otro software.
Posibilidad de recuperacin en caso de desastre. Para evitar perder informacin
en caso de problemas serios con el software (errores de hardware, apagones
prolongados,)
Archivos LOG. Desde los que podemos examinar las incidencias y monitorizar el
funcionamiento de la base de datos.
Herramientas para programar aplicaciones. Que permitan crear las aplicaciones (o
facilidades) de usuario.
Gestin de la comunicacin con los clientes de la base de datos. Permiten
establecer conexin con la base de datos desde mquinas remotas.
Optimizacin de consultas. Busca el mnimo tiempo de respuesta para las
operaciones sobre los datos.
Herramientas para automatizar tareas. Permiten realizar programaciones sobre
operaciones habituales sobre la base de datos.
Posibilidad de distribuir la base de datos entre diferentes mquinas, y as mejorar
su alta disponibilidad.
Gestin de transacciones, ACID. ACID significa Atomicity, Consistency, Isolation
and Durability: Atomicidad, Consistencia, Aislamiento y Durabilidad en espaol y
es una norma obligatoria que deben de cumplir las bases de datos para que una
transaccin se pueda considerar como tal.
Riesgos generales a tener en cuenta:
1
2
3
4
5
6
7
8
9
10

Polvo
Suspensin del fluido elctrico
Electromagnetismo
Calentamiento del cuarto elctrico
Falla de software
Ataque informtico
Falta de ventilacin
Perdida de informacin
Incendio
Falla de hardware

Amenaza
Amenaza
Vulnerabilidad
Amenaza
Vulnerabilidad
Amenaza
Vulnerabilidad
Vulnerabilidad
Amenaza
Vulnerabilidad

Estos riesgos se deben aplicar a cada elemento que sea considerado un activo
para la organizacin.

Para las bases de datos se debe considerar las fallas de hardware, software, virus
malware, spyware y ataques externos.
ACTIVO
RIESGO
PROBABILIDAD
IMPACTO
ESCENARIO PROBABLE
FUNCIONES AFECTADAS
MITIGACION DE RIESGOS
ACCIONES A TOMAR

RESPONSABLES
RECURSOS

Base de datos
Falla de hardware
Media
Alto
Falta de mantenimiento, polvo y humedad
Todas
Mantenimiento preventivo, organizacin de
cableado, fallas elctricas
Anlisis del problema de hardware
Informar al administrador del
sistema
Restaurar el equipo fsico
Reiniciar el sistema operativo
Tcnicos, administrador de los sistemas
Cable de poder
Tester
Discos duros

Respecto a este proceso de fallas a nivel hardware se recomienda realizar

mantenimiento preventivo frecuentemente de los discos y de la base de datos en
general para sacar el mejor provecho y evitar incidentes.

ACTIVO
RIESGO
PROBABILIDAD
IMPACTO
ESCENARIO PROBABLE
FUNCIONES AFECTADAS
MITIGACION DE RIESGOS
ACCIONES A TOMAR

RESPONSABLES
RECURSOS

Base de datos
Falla de software
Media
Alto
Firewall
apagado,
sobrecarga
de
procesamiento
Todas
Proteccin con firewall activo, actualizar
versiones de aplicaciones
Anlisis del problema de software
Reseteo del sistema operativo
Cambio de discos
Instructores, administrador de los sistemas
Programas de recuperacin y
respaldo

Tener en cuenta la sobrecarga de procesos porque esto causa fallas en el

software.
ACTIVO
RIESGO
PROBABILIDAD
IMPACTO
ESCENARIO PROBABLE

FUNCIONES AFECTADAS
MITIGACION DE RIESGOS

ACCIONES A TOMAR

RESPONSABLES
RECURSOS

Base de datos
Virus, Malware, Spyware
Media
Alto
Navegacin insegura
Antivirus desactualizado
Firewall mal configurado
Memorias extrables infectadas
Almacenamiento masivo
Backups
Actualizacin de antivirus
Actualizar sistema operativo
Programas antimalware
Sellamiento de puertos
Anlisis del sistema
Ejecucin de limpieza
Restauracin del sistema
Formateo del sistema
Instructores, administrador de los sistemas
Antivirus
Antimalware
Firewall

Las bases de datos son comnmente infectadas por navegacin insegura, mal
manejo de unidades extrables, sistema operativo desactualizado, entre otros.
Estos riesgos pueden ser mitigados con las debidas herramientas de contrarrestar
estas infecciones del sistema.
ACTIVO
RIESGO
PROBABILIDAD
IMPACTO
ESCENARIO PROBABLE
FUNCIONES AFECTADAS

Base de datos
Ataque de externos
Media
Alto
Ataque de hacker
Acceso no autorizado
Lo que est relacionado
software

con

MITIGACION DE RIESGOS

ACCIONES A TOMAR

RESPONSABLES
RECURSOS

Anonimato de red
Acceso restringido fsico a la red
local
Sellamiento de puertos
Anlisis del dao causado
Desconexin de la red
Reinicio de sistema en modo
seguro
Administrador de los sistemas
Backup
Discos extrables
Firewall

Lo ataques externos que les hacen a las bases de datos, son por obvia razn
intencionados por personas maliciosas que quieren afectar la integridad de la
entidad.

CONCLUSIONES

Se puede concluir lo siguiente:

El plan de recuperacin ante desastres debe ser considerado un seguro

fundamental. A pesar de que requiere una cantidad considerable de
recursos y dedicacin, es una herramienta vital para la supervivencia de las
organizaciones.

Es vital involucrar a todas las reas de la empresa, as como definir

responsables y asegurar los recursos para la definicin, planeacin y
ejecucin en caso de contingencia.

Es imprescindible contemplar un anlisis de impactos al negocio (BIA). Con

ello se define cul es la informacin del negocio que no puede perderse
bajo ningn concepto o eventualidad.

Realizar y probar copias de seguridad en forma regular

BIBLIOGRAFIA

Secretos
de
un
experto
en
SQL
[en
lnea],
https://technet.microsoft.com/es-es/magazine/gg299551.aspx

Disponible

en:

Bases
de
datos,
[en
lnea],
disponible
http://www.iuma.ulpgc.es/users/lhdez/inves/pfcs/memoria-ivan/node7.html

en:

Planeacin y recuperacin ante desastres [en lnea], Disponible

https://technet.microsoft.com/es-es/library/ms178128(v=sql.105).aspx

en:

Disponibilidad y recuperacin ante desastres [en lnea], Disponible en:

https://msdn.microsoft.com/es-es/library/dn741215(v=sql.120).aspx