AA6-EV1-PLAN DE RESPALDO PARA LAS

SECRETARÍAS DE GOBIERNO Y HACIENDA DE

SAN ANTONIO DEL SENA

PRESENTADO POR:
LAUREANO BLANQUICETT SANJUANELO

SERVICIO NACIONAL DE APRENDIZAJE SENA

PROGRAMA DE FORMACIÓN
ESPECIALIZACIÓN TECNOLÓGICA EN GESTIÓN Y
SEGURIDAD DE BASES DE DATOS
CONTENIDO

1. INTRODUCCIÓN ........................................................................................................ 2
2. OBJETIVOS ................................................................................................................. 2
3. ALCANCE ................................................................................................................... 2
4. IDENTIFICACIÓN Y ANALISIS DE RIESGOS ....................................................... 3
4.1 Riesgos con incidencia externa ............................................................................... 3
4.2 Riesgos con incidencia interna................................................................................ 3
4.2.1 Incumplimiento de contratista .......................................................................... 3
4.2.2 Posibles retrasos en procesos administrativos: ................................................ 3
4.2.3 Contratación sin asistencia técnica ................................................................... 3
4.2.4 Posible pérdida de información: ....................................................................... 3
4.2.5 Posible falla de equipos electrónicos y Hardware fuera de inventario: ........... 3
4.2.6 Posibles Fallas en el Flujo de Energía Eléctrica: ............................................. 3
4.2.7 Posible calentamiento de la Sala de Computo: ................................................ 3
5. PLAN DE MITIGACIÓN ............................................................................................ 4
5.1 Proceso de respaldo................................................................................................. 4
5.1.1 Proceso de respaldo externo. ............................................................................ 4
5.1.2 Plan de backup y equipos de respaldo .............................................................. 4
5.1.3 Procedimiento para efectuar los backup........................................................... 5
5.1.4 Centro de Cómputo Alterno. ............................................................................ 7
6. DESCRIPCIÓN DE LOS TIPOS DE COPIA DE SEGURIDAD
7. PLAN DE CONTINGENCIA ...................................................................................... 7
8. ACTIVIDADES POSTERIORES AL DESASTRE .................................................... 9
9. CRITERIOS Y PROCEDIMIENTOS DE PRUEBA DEL PLAN: ............................. 9
10. APROBACIÓN .......................................................................................................... 9
11. BIBLIOGRAFIA .......................................................................................................10
 1. INTRODUCCIÓN
Una base de datos logra ser algo complejo que puede arruinarse y como resultado perder
información que se encontraba almacenada, perdiendo el trabajo de muchos días, meses o años
de trabajo. Las bases de datos son sensibles y puede en algún momento sufrir algún grado de
corrupción. Cuando la base de datos sufre algún tipo de daño se debe tener bastante cuidado al
utilizar algunas herramientas administrativas, pues se pueden generar daños mayores.
Los SGBD deben suministran herramientas para impedir o corregir error o fallos, siempre que
se lleve a cabo una actualización se debe tener la certeza de que la base de datos quede sin
errores es decir consistente, el fin de un sistema de recuperación es restaurar la base de datos
en el que no se tiene errores un estado óptimo, luego de detectar cualquier error o estado
incorrecto o sospechoso Las bases de datos brindan ciertas posibilidades de respaldo y
recuperación, dadas mediante una configuración la cual se basa en características de
operatividad y de disponibilidad, por otro lado se deben tener presentes los requerimientos de
las entidades y áreas de la misma. El objetivo primordial de la recuperación y respaldos son de
este servicio es valorar la instancian en la que particularmente se encuentra cada base,
seguidamente expone y propone la mejor modelo de respaldo que se pueda brindar para cada
usuario o entidad y garantizando el porcentaje de perdida de información será el mínimo
posible.

2. OBJETIVOS
Elabora el plan de respaldo de la información de acuerdo con los lineamientos
establecidos y las características de la organización.

3. ALCANCE
El plan comienza con la identificación de riesgos y vulnerabilidades y termina con el
establecimiento de las políticas de seguridad.
Para el desarrollo del plan se han identificado tres grandes fases, como lo son la fase de
mitigación, emergencias y recuperación.
 4. IDENTIFICACIÓN Y ANALISIS DE RIESGOS
Para el análisis de riesgo se ha evaluado el impacto por interrupción de servicio,
estimando las pérdidas que involucraría la interrupción parcial o total del
funcionamiento de la Alcaldía de San Antonio del SENA.
4.1 Riesgos con incidencia externa
Se contemplan los riesgos por cabios de normatividad, ya sean a nivel nacional,
departamental o municipal, los cuales puedan incidir en un cambio inmediato del
funcionamiento del sistema.
4.2 Riesgos con incidencia interna
4.2.1 Incumplimiento de contratista: este riesgo puede ocurrir cuando alguno de los
contratistas firmados para implementación del SIASAS o de las actividades propias del
área de sistemas responsable del manejo tanto de las plataformas como de las
actividades de mantenimiento y seguridad de la información.
4.2.2 Posibles retrasos en procesos administrativos: Al implementar procesos
tecnológicos, es frecuente que se incurra en retrasos de los procesos administrativos
mientras los usuarios se acomodan al uso de los sistemas, razón por la cual se deben
implementar estrategias que no imposibiliten la continua prestación del servicio.
4.2.3 Contratación sin asistencia técnica: Soluciones Inadecuadas o Incompatibilidad
frente a los Requerimientos y Recursos Disponibles: Se relaciona con deficientes
procesos de análisis, evaluación, planeación y toma de decisiones sobre la elección de
las alternativas tecnológicas a ser implementadas, y con el probable desconocimiento
de las características y especificaciones técnicas de los recursos disponibles y las
necesarias en cada una de las soluciones elegidas, de manera compatible.
4.2.4 Posible pérdida de información: La idea del presente plan de contingencias es
que este riesgo tenga baja probabilidad de ocurrencia, efectuado copias de seguridad de
todo tipo de archivos que se desarrollen en la entidad.
4.2.5 Posible falla de equipos electrónicos y Hardware fuera de inventario: Este
riesgo se presenta por la Falta de Previsión, con la no inclusión de soluciones para
aspectos de baja prioridad o al excluir elementos de los inventarios, por
desconocimiento o por no haber sido reportados a tiempo al área de sistemas.
4.2.6 Posibles Fallas en el Flujo de Energía Eléctrica: Este riesgo está relacionado
con amenazas externas al control de la Entidad. Sin embargo, se han implementado
equipos para la mitigación del riesgo de corte temporal de energía eléctrica. Para
tiempos mayores a una (1) hora que es lo soportado por los equipos adquiridos2 se debe
acudir a procesos manuales establecidos como contingencia hasta tanto se solucione la
falla.
4.2.7 Posible calentamiento de la Sala de Computo: como se explicó en la
PROPUESTA ARQUITECTURA TECNOLÓGICA SAN ANTONIO DEL SENA,
“…Los servidores se ubicarán en una sala independiente a la cual sólo tendrá acceso
personal autorizado que tenga que ver con su mantenimiento y/o vigilancia, buscando
mantener las condiciones ambientales para no generar aumentos de temperatura
repentina que obliguen la activación de fuentes externas para mantener la temperatura
y humedad en la sala y a su vez, buscando garantizar al máximo la seguridad y
estabilidad de la información de la alcaldía y por ende de San Antonio del Sena…” sin
 embargo, aunque la probabilidad de ocurrencia es baja, este riesgo debe ser de igual
manera contemplado.
Es de vital importancia tener en cuenta los equipos con los que se cuenta en la entidad:

5. PLAN DE MITIGACIÓN
En el plan de mitigación se contemplaran la frecuencia de copias de seguridad y los
tipos de las mismas
5.1 Proceso de respaldo: Por medio de este proceso, la Alcaldía de San Antonio del
SENA asegura la conservación de la información y determinara donde se realizarán los
trabajos críticos de procesamiento de datos en caso de falta o falla de sus equipos.
Para ello, se han incluido los 5 principales componente de un sistema de información:
 Los datos
 La documentación
 Los programas (software)
 Los procedimientos
 Los equipos (hardware)
5.1.1 Proceso de respaldo externo: Como sitio de respaldo externo se entiende una
instalación diferente a la sede principal de la entidad donde se almacena una copia de los
archivos de backups de la entidad, para que ante cualquier eventualidad que se presente
en la sede principal se pueda reiniciar labores con los archivos almacenados en el sitio de
respaldo externo. Este lugar será establecido luego de la contratación de espacios propios
de la Alcaldía de San Antonio del SENA.
5.1.2 Plan de backups y equipos de respaldo: Estos backups deberán ser ejecutados
por el coordinador del área de sistemas y algunos funcionarios con que cuenten con
usuario con privilegio para realizar las copias de seguridad.
5.1.2.1 Definición de Niveles de Backup: Los niveles de backup que se han establecido
como política en Área de Sistemas son los siguientes:
ANUAL: Debe realizarse al final de cada año (último día del año), es un backup total
en cintas que se guardan indefinidamente.
SEMESTRAL:Debe realizarse al final de cada semestre un backup total (último día de
cada semestre exceptuando el último día del año). Estas cintas se pueden denominar
semestre1, semestre2 y se reutilizan anualmente.
MENSUAL:Debe realizarse al final de cada mes un backup total (último día de cada
mes exceptuando el último día del año). Estas cintas se pueden denominar mes1, mes2,
mes3,….mes12 y se reutilizan anualmente.
SEMANAL: Se debe realizar al final de la semana (último día de la semana), es un
backup total en cintas. Estas cintas se pueden denominar semana1,….semana4 y se
reutilizan mensualmente.
 DIARIO: Se debe realizar al final del día, es un backup total de la información diaria
en cintas independientes. Estas cintas se pueden denominar lunes, martes, miércoles y
jueves y se reutilizan semanalmente.
EN LINEA: Este backup se hace siempre y cuando se posea la infraestructura para
copiar los archivos o directorios considerados como información vital al disco duro de
un servidor remoto.
5.1.3 Procedimiento para efectuar los backups.: Para ello se implementará un
procedimiento en el Sistema Integrado de Gestión, el cual deberá ser proyectado por el
enlace de la OCI en el área de sistemas y aprobado por el Coordinador del área y el
Coordinador del OCI.
Se deberá incluir como mínimo la siguiente información y se deberá nombrar un
Coordinador de Contingencia: Backup base de datos en servidores
5.1.4 Centro de Cómputo Alterno.: Como se explicó en el numeral 5.1.1, la Alcaldía
de San Antonio del SENA, al no contar con un centro alterno donde se pueda localizar
este espacio, deberá contemplar la adquisición de este lugar, no solo para preservar la
información en un lugar distinto al edificio principal que pueda servir de respaldo en
caso de incidentes naturales o incendios, sino también para poder aislar la información
en caso de ataques cibernéticos, etc. Este centro de cómputo deberá contar con un
coordinador y personal capacitado en Tecnologías de información, base de datos y
oficial de seguridad de la información.
6. DESCRIPCIÓN DE LOS TIPOS DE COPIA DE SEGURIDAD

TIPO DE COPIA DISPONIBLE

RESTRICCIONES
DE SEGURIDAD PARA

En la base de datos maestra, solo son posibles

copias de seguridad completas. En el modelo
Bases de datos,
de recuperación simple, las copias de
Completo archivos y grupos
seguridad de archivos y grupos de archivos
de archivos
solo están disponibles para los grupos de
archivos de solo lectura.
En el modelo de recuperación simple, las
Bases de datos,
copias de seguridad de archivos y grupos de
Diferencial archivos y grupos
archivos solo están disponibles para los grupos
de archivos
de archivos de solo lectura.
Las copias de seguridad de registros de
Registro de Registros de
transacciones no están disponibles para el
transacciones transacciones
modelo de recuperación simple.
 6.1 Modelos de recuperación SQL server
Modelo de
Descripción
recuperación
Sin copias de seguridad de
registros. Recupera
automáticamente el espacio de
registro para mantener al
Simple mínimo los requisitos de
protegidos. En caso
espacio, eliminando, en
esencia, la necesidad de
administrar el espacio del
registro de Transacciones.
Requiere copias de seguridad
de registros. No se pierde
trabajo si un archivo de datos
Completa se pierde o resulta dañado. Se
puede recuperar hasta
cualquier momento, por
ejemplo,
Si el registro resulta
Requiere copias de seguridad
de registros. Complemento del
modelo de recuperación operaciones masivas
Por medio de completa Que permite
operaciones de copia masiva copia de seguridad
registros de
de alto rendimiento. Reduce el
Operaciones
uso del espacio de registro
masivas
mediante el registro mínimo
de la mayoría de las
Operaciones masivas. Para
Obtener más información.
¿Recuperación
Riesgo de pérdida
hasta un
de trabajo
momento dado?
Los cambios
realizados después
de la copia de
seguridad más Sólo se puede
reciente no están recuperar hasta el
final de una copia
de desastre, de seguridad.
necesario volver
Realizar dichos
cambios.
Normalmente
Se puede Hasta
ninguno. Si el final
determinado
del registro resulta
momento, siempre
dañado, se deben
que las copias de
repetir los cambios
seguridad se hayan
realizados desde la
hasta ese
última copia de
momento.
seguridad
dañado o se han
realizado
Se puede
recuperar hasta el
desde la última
final de
cualquier copia de
de registros, se
Seguridad. No
pueden repetir los
admite
cambios desde esa
recuperaciones a
última copia de
un Momento dado.
seguridad. En caso
contrario, no se
pierde el trabajo.

7. PLAN DE CONTINGENCIA
7.1 Restaurar bases de datos SQL Server: Habitualmente en la mayoría de las
aplicaciones se cuenta con un sistema gestor de base de datos (SGBD), el cual apoya
el desarrollo. Estas bases de datos son utilizadas en distintos entornos, como en la
producción, integración y desarrollo, haciéndose necesario la utilización de un
sistema de copias de seguridad.
Los respaldos no sólo nos sirven para impedir una posible pérdida de los datos,
también son útiles para replicar los entornos en mención, en lo que a la base de datos
se refiere sin necesidad de volver a crear todas las tablas y demás objetos de la base
de datos, además sin volver a cargar los datos que contienen.
● Restore With Recovery: Es el comportamiento predeterminado que deja la base
de datos lista para usarse mediante la reversión de las transacciones no confirmadas.
No pueden restaurarse registros de transacciones adicionales.
● Restore With Norecovery: Deja la base de datos no operativa, y no revierten las
transacciones no confirmadas. Pueden restaurarse registros de transacciones
adicionales. La base de datos no puede usar hasta que se recupera.
● Restore With Standby: Deja la base de datos en modo de solo lectura. Deshace
las transacciones sin confirmar, pero guarda las acciones de deshacer en un archivo
en espera para que los efectos de la recuperación puedan revertirse
8. ACTIVIDADES POSTERIORES AL DESASTRE
 Realice una documentación completa del desastre y la acción realizada para
reestablecer el orden.
 Se deberán realizar pruebas de recuperación de los respaldos, a lo menos una vez
por semestre. Estas pruebas consistirán en la restauración de los sistemas que
correspondan, a partir de su respaldo, y deberán quedar debidamente documentadas.
En caso de presentarse problemas durante las pruebas, se deberán implementar las
medidas correspondientes para prevenir su ocurrencia en el futuro.
 Mensualmente, se deberá generar un reporte de incidentes, con objeto de identificar
categorías de incidentes más reportados , para luego tomar las medidas que
correspondan para prevenirlos.

9. CRITERIOS Y PROCEDIMIENTOS DE PRUEBA DEL PLAN:

Las pruebas de recuperación de desastres ayudan a garantizar que una organización
podrá recuperar datos, aplicaciones críticas de negocio y continuar con su
funcionamiento después de una interrupción de los servicios. La función principal de
una prueba de DR es evaluar plenamente la continuidad de los procesos y los planes de
recuperación de desastres. El proceso de prueba le permite a la entidad llevar a cabo el
plan de mantenimiento y capacitar al personal sobre los procedimientos de recuperación
de desastres. Las pruebas de recuperación de desastres deben realizarse de modo
regular. Las comunicaciones, la recuperación de datos y la recuperación de aplicaciones
suelen ser los ejes de todas las pruebas de recuperación de desastres. Los demás sectores
para estas pruebas pueden variar, dependiendo de los objetivos de la organización sobre
el punto de recuperación (RPO) y el tiempo de recuperación (RTO).
10. APROBACIÓN
Luego probar el plan y aplicar las correcciones pertinentes, el alcalde deberá exponerlo
y luego aprobarlo. Él y sus asesores son los encargados de establecer los procedimientos
y responsabilidades en caso de alguna eventualidad y de actualizar y dar el aval al plan
cada año.Este plan se debe considerar fundamental a la hora de asegurar la información
ante un desastre, si bien es cierto que requiere una gran cantidad de recursos y a pesar
de que requiere una cantidad considerable de recursos y trabajo, se convierte en una
herramienta de gran relevancia para el ente gubernamental.
 11. BIBLIOGRAFIA
Maza Anton, Gina Lizbeth, PLAN DE CONTINGENCIA informático Y
SEGURIDAD DE INFORMACION 2009, aplicado en la UNIVERSIDAD
NACIONAL DE PIURA.
PROCEDIMIENTOS DE SEGURIDAD DE LA INFORMACIÓN. Superintendencia
del Medio Ambiente. Gobierno de Chile.
Bases de datos, [en línea], disponible en:
http://www.iuma.ulpgc.es/users/lhdez/inves/pfcs/memoria-ivan/node7.html
Disponibilidad y recuperación ante desastres [en línea], Disponible en:
https://msdn.microsoft.com/es-es/library/dn741215(v=sql.120).aspx
Planeación y recuperación ante desastres [en línea], Disponible en:
https://technet.microsoft.com/es-es/library/ms178128(v=sql.105).aspx
Plan de Contingencias Contraloría de Bogotá D.C.