PLAN DE CONFIGURACIÓN Y RECUPERACIÓN ANTE DESASTRES PARA EL

SMBD.

JAIRO ALEXANDER MORA JURADO

SERVICIO NACIONAL DE APRENDIZAJE, SENA

GESTION Y SEGURIDAD DE BASE DE DATOS
MOCOA
2015
PLAN DE CONFIGURACIÓN Y RECUPERACIÓN ANTE DESASTRES PARA EL
SMBD.

JAIRO ALEXANDER MORA JURADO

APRENDIZ

Instructores:
BLANCA ARAUJO TORRES
GLORIA CORCHUELO BUITRAGO
EDGAR FORERO GRANADOS

SERVICIO NACIONAL DE APRENDIZAJE, SENA

GESTION Y SEGURIDAD DE BASE DE DATOS
MOCOA
2015
 INTRODUCCION

Las organizaciones siempre el cambio y la adaptación a los nuevos contextos que

se presentan cada día, en la actualidad las operaciones diarias y cotidianas se
realizan con tecnologías de la información porque estas automatizan los procesos
garantizando una mejor eficiencia y eficacia de respuesta, pero algunas veces estas
operaciones no se planean correctamente lo que puede conllevar a un caso de
desastre. Por tal razón, el Disaster Recovery Plan (DRP), es de vital importancia
porque este permite a las empresas reaccionar ante cualquier tipo de amenaza a
sus actividades internas o externas.
Cuando se habla de algún desastre no aplica solamente a catástrofes naturales
como lo es un terremoto, inundación, huracán o fenómeno similar que paralizan una
región, sino también a la inexperiencia de un usuario que desconecta una base de
datos, o por algún tubo de agua que afecte la conectividad y la disponibilidad del
internet, también puede suceder una súbita caída del servicio de energía tan común
en nuestro entorno tradicional.
Por infinitas razones en el mundo cotidiano las redes de cualquier empresa pueden
sufrir un incidente que afecte la continuidad del servicio ofrecido, dependiendo como
se gestione el incidente se pueden minimizar las consecuencias.
PLAN DE CONFIGURACIÓN Y RECUPERACIÓN ANTE DESASTRES PARA EL
SMBD.

Como objetivo de esta actividad se debe analizar y comprender los incidentes que
se pueden presentar que afectan directamente la integridad de la organización.
Usando un plan de continuidad para así lograr siempre tener a salvo los activos de
la organización.

¿Qué es posible hacer en DRP?

 Conservar la estabilidad de la información protegiendo instalaciones y

recursos del centro de información.
 Recuperar desastres en cuestión de minutos después de cualquier evento
que signifique riesgo o crisis potencial para una empresa.
 Aprovechar la posibilidad de establecer el tiempo en que debe recuperarse
los datos.(RTO)
 Restablecer los niveles de actualización de los datos, según su tipo.(RPO)

A través de Amazon Web Services (AWS) es posible habilitar modelos de DRP

rápidamente y a bajo costo, gracias a que ofrece servicios instantáneos, rápidos, y
además permite generar ambientes aislados para la realización de las pruebas
necesarias del sistema de la información sin afectar al usuario final. Una de sus
grandes ventajas es la reducción de costos al estar “en la nube” (ver gráfico) y la
garantía de que la información está encriptada en un espacio propio e impenetrable
por terceros.

Se deben tener en cuenta unos elementos esenciales para que un plan de

recuperación ante desastres sea sólido.

Como primer paso se debe definir de una forma concreta el plan de recuperación
ante desastres involucrando a la gerencia. Ellos son los responsables de su
coordinación y deben asegurar siempre la efectividad. Adicionalmente, deben
proveer los recursos necesarios para un desarrollo efectivo de este plan. Todos los
departamentos de la organización participan en la definición del plan.

Establecer las probabilidades de los desastres naturales o causados por errores

humanos. Por esta razón se realiza un análisis de riesgo y crear una lista para que
cada departamento analice las posibles consecuencias y el impacto relacionado con
cada tipo de desastre. Esto servirá como referencia para identificar lo que se
necesita incluir en el plan. Con un plan completo reduce de forma notable la pérdida
total del centro de datos y eventos de larga duración de más de una semana.
Luego de definir claramente estas necesidades por departamento, se les asigna una
prioridad. Esto es importante, porque ninguna compañía tiene recursos infinitos. Los
procesos y operaciones son analizados para determinar la máxima cantidad de
tiempo que la organización puede sobrevivir sin ellos. Se establece un orden de
recuperación según el grado de importancia. Esto se define como el Recovery Time
Objective, Tiempo de Recuperación o RTO. Otro término importante es el Recovery
Point Objective, Punto de Recuperación o RPO.

En la etapa de selección de estrategias de recuperación se determinan todas las

alternativas más prácticas para proceder al escoger el plan anti desastres. Todos
los aspectos de la organización son analizados, incluyendo hardware, software,
comunicaciones, archivos, bases de datos, instalaciones, etc. Las alternativas a
considerar varían según la función del equipo y pueden incluir duplicación de
centros de datos, alquiler de equipos e instalaciones, contratos de almacenamiento
y muchas más. Igualmente, se analiza los costos asociados.

Para VMware, la virtualización constituye un avance considerable al aplicarse en el

Plan de Recuperación ante Desastres (DRP). Para garantizar eficiencia, flexibilidad,
implementación e incluso reducción de costos.

Considerar componentes realmente esenciales a proteger como lo son listas de

inventarios, copias de seguridad de datos y de software, documentación y todas las
cosas más relevantes, la creación previa de plantillas de verificación ayuda a
simplificar este proceso.

Un resumen del plan debe ser respaldado por la gerencia. Este documento organiza
los procedimientos, identifica las etapas importantes, elimina redundancias y define
el plan de trabajo. La persona o personas que escriban el plan deben detallar cada
procedimiento, tomando en consideración el mantenimiento y la actualización del
plan a medida de que el negocio evoluciona. El plan asigna responsabilidad a
diferentes equipos / departamentos y alternos.

Criterios y procedimientos de prueba del plan

La experiencia indica que los planes de recuperación deben ser probados en su
totalidad por lo menos una vez al año. La documentación debe especificar los
procedimientos y la frecuencia con que se realizan las pruebas. Las razones
principales para probar el plan son: verificar la validez y funcionalidad del plan,
determinar la compatibilidad de los procedimientos e instalaciones, identificar áreas
que necesiten cambios, entrenar a los empleados y demostrar la habilidad de la
organización de recuperarse de un desastre.

Después de las pruebas el plan debe ser actualizado. Se sugiere que la prueba
original se realice en horas que minimicen trastornos en las operaciones. Una vez
demostrada la funcionalidad del plan, se debe hacer pruebas adicionales donde
todos los empleados tengan acceso virtual y remoto a estas posiciones y funciones
en el caso de un desastre.

Después de que el plan haya sido puesto a prueba y corregido, la gerencia deberá
aprobarlo esto es la aprobación final. Ellos son los encargados de establecer las
pólizas, los procedimientos y responsabilidades en caso de contingencia, y de
actualizar y dar el visto al plan anualmente. A la vez, sería recomendable evaluar
los planes de contingencia de proveedores externos.

Para evitar incidentes en la configuración e instalación se debe considerar lo

siguiente:

 Configurar e instalar el hardware necesario. Para el correcto funcionamiento

del SGBD. Eso incluye ampliar memoria, discos duros, además de
configurarles para su óptimo rendimiento. También la gestión mínima del
sistema operativo para que la base de datos funcione correcta y rápidamente.
 Instalación y mantenimiento del SGBD. Seleccionando la más adecuada
forma de instalación y configurando lo necesario para su óptimo rendimiento
acorde con las necesidades, así como realizar las actualizaciones del
sistema que sean necesarias.
 Crear las estructuras de almacenamiento de la base de datos. Es quizá la
tarea que de forma más habitual se relaciona con los DBA. Consiste en crear
y configurar las estructuras físicas y los elementos lógicos que permitan un
rendimiento optimizado de la base de datos.
 Crear y configurar la base de datos. Creación de la estructura interna de la
base de datos (tablas, usuarios, permisos, vistas,…). Es otra de las tareas
más habitualmente relacionadas con el DBA y la primera fase en
administración de una base de datos.
 Control de los usuarios y los permisos. En definitiva establecer las políticas
de seguridad tan imprescindibles en toda base de datos.
 Monitorizar y optimizar el rendimiento de la base de datos. Un DBA debe
detectar los cuellos de botella del sistema y actuar en consecuencia. Esto
incluye optimizar las instrucciones SQL por lo que implica asistir a los
desarrolladores para que utilicen las instrucciones más eficientes sobre las
bases de datos.
 Realizar tareas de copia de seguridad y recuperación. Quizá la tarea más
crítica. Consiste en realizar acciones para en caso de catástrofe poder
recuperar todos los datos

Gestión de copias de seguridad. Una de las funciones críticas de la base de datos

ya que permite la recuperación de información en caso de problemas.
Aplicaciones de exportación e importación de datos. Para poder utilizar datos de
otros SGBD u otro software.
Posibilidad de recuperación en caso de desastre. Para evitar perder información en
caso de problemas serios con el software (errores de hardware, apagones
prolongados,)
Archivos LOG. Desde los que podemos examinar las incidencias y monitorizar el
funcionamiento de la base de datos.
Herramientas para programar aplicaciones. Que permitan crear las aplicaciones (o
facilidades) de usuario.
Gestión de la comunicación con los clientes de la base de datos. Permiten
establecer conexión con la base de datos desde máquinas remotas.
Optimización de consultas. Busca el mínimo tiempo de respuesta para las
operaciones sobre los datos.
Herramientas para automatizar tareas. Permiten realizar programaciones sobre
operaciones habituales sobre la base de datos.
Posibilidad de distribuir la base de datos entre diferentes máquinas, y así mejorar
su alta disponibilidad.
Gestión de transacciones, ACID. ACID significa Atomicity, Consistency, Isolation
and Durability: Atomicidad, Consistencia, Aislamiento y Durabilidad en español y es
una norma obligatoria que deben de cumplir las bases de datos para que una
transacción se pueda considerar como tal.
Riesgos generales a tener en cuenta:
1 Polvo Amenaza
2 Suspensión del fluido eléctrico Amenaza
3 Electromagnetismo Vulnerabilidad
4 Calentamiento del cuarto eléctrico Amenaza
5 Falla de software Vulnerabilidad
6 Ataque informático Amenaza
7 Falta de ventilación Vulnerabilidad
8 Perdida de información Vulnerabilidad
9 Incendio Amenaza
10 Falla de hardware Vulnerabilidad

Estos riesgos se deben aplicar a cada elemento que sea considerado un activo para
la organización.
Para las bases de datos se debe considerar las fallas de hardware, software, virus
malware, spyware y ataques externos.
 ACTIVO Base de datos
RIESGO Falla de hardware
PROBABILIDAD Media
IMPACTO Alto
ESCENARIO PROBABLE Falta de mantenimiento, polvo y humedad
FUNCIONES AFECTADAS Todas
MITIGACION DE RIESGOS Mantenimiento preventivo, organización de
cableado, fallas eléctricas
ACCIONES A TOMAR  Análisis del problema de hardware
 Informar al administrador del sistema
 Restaurar el equipo físico
 Reiniciar el sistema operativo
RESPONSABLES Técnicos, administrador de los sistemas
RECURSOS  Cable de poder
 Tester
 Discos duros

Respecto a este proceso de fallas a nivel hardware se recomienda realizar

mantenimiento preventivo frecuentemente de los discos y de la base de datos en
general para sacar el mejor provecho y evitar incidentes.

ACTIVO Base de datos

RIESGO Falla de software
PROBABILIDAD Media
IMPACTO Alto
ESCENARIO PROBABLE Firewall apagado, sobrecarga de
procesamiento
FUNCIONES AFECTADAS Todas
MITIGACION DE RIESGOS Protección con firewall activo, actualizar
versiones de aplicaciones
ACCIONES A TOMAR  Análisis del problema de software
 Reseteo del sistema operativo
 Cambio de discos
RESPONSABLES Instructores, administrador de los sistemas
RECURSOS  Programas de recuperación y
respaldo

Tener en cuenta la sobrecarga de procesos porque esto causa fallas en el software.

ACTIVO Base de datos
RIESGO Virus, Malware, Spyware
 PROBABILIDAD Media
IMPACTO Alto
ESCENARIO PROBABLE  Navegación insegura
 Antivirus desactualizado
 Firewall mal configurado
 Memorias extraíbles infectadas
FUNCIONES AFECTADAS  Almacenamiento masivo
 Backups
MITIGACION DE RIESGOS  Actualización de antivirus
 Actualizar sistema operativo
 Programas antimalware
 Sellamiento de puertos
ACCIONES A TOMAR  Análisis del sistema
 Ejecución de limpieza
 Restauración del sistema
 Formateo del sistema
RESPONSABLES Instructores, administrador de los sistemas
RECURSOS  Antivirus
 Antimalware
 Firewall

Las bases de datos son comúnmente infectadas por navegación insegura, mal
manejo de unidades extraíbles, sistema operativo desactualizado, entre otros.
Estos riesgos pueden ser mitigados con las debidas herramientas de contrarrestar
estas infecciones del sistema.
ACTIVO Base de datos
RIESGO Ataque de externos
PROBABILIDAD Media
IMPACTO Alto
ESCENARIO PROBABLE  Ataque de hacker
 Acceso no autorizado
FUNCIONES AFECTADAS  Lo que esté relacionado con
software
MITIGACION DE RIESGOS  Anonimato de red
 Acceso restringido físico a la red
local
 Sellamiento de puertos
ACCIONES A TOMAR  Análisis del daño causado
 Desconexión de la red
 Reinicio de sistema en modo seguro
RESPONSABLES Administrador de los sistemas
RECURSOS  Backup
 Discos extraíbles
 Firewall

Lo ataques externos que les hacen a las bases de datos, son por obvia razón
intencionados por personas maliciosas que quieren afectar la integridad de la
entidad.
 CONCLUSIONES

Se puede concluir lo siguiente:

 El plan de recuperación ante desastres debe ser considerado un seguro
fundamental. A pesar de que requiere una cantidad considerable de recursos
y dedicación, es una herramienta vital para la supervivencia de las
organizaciones.

 Es vital involucrar a todas las áreas de la empresa, así como definir

responsables y asegurar los recursos para la definición, planeación y
ejecución en caso de contingencia.

 Es imprescindible contemplar un análisis de impactos al negocio (BIA). Con

ello se define cuál es la información del negocio que no puede perderse bajo
ningún concepto o eventualidad.

 Realizar y probar copias de seguridad en forma regular

 BIBLIOGRAFIA

Secretos de un experto en SQL [en línea], Disponible en:

https://technet.microsoft.com/es-es/magazine/gg299551.aspx

Bases de datos, [en línea], disponible en:

http://www.iuma.ulpgc.es/users/lhdez/inves/pfcs/memoria-ivan/node7.html

Planeación y recuperación ante desastres [en línea], Disponible en:

https://technet.microsoft.com/es-es/library/ms178128(v=sql.105).aspx

Disponibilidad y recuperación ante desastres [en línea], Disponible en:

https://msdn.microsoft.com/es-es/library/dn741215(v=sql.120).aspx