ALCALDÍA DE

SAN ANTONIO
DEL SENA
PROPUESTA

PLAN CONFIGURACIÓN Y RECUPERACIÓN

ANTE DESASTRES
PLANIFICAR LA CONFIGURACIÓN DEL SISTEMA MANEJADOR

DE BASES DE DATOS
 FASE 2
PLANEACIÓN

05 INTEGRANTES

David Bohorquez

13
Mauricio Estupiñan.

INSTRUCTOR
GREGORIO ARTURO BAREÑO MARIN

27
SERVICIO NACIONAL DE APRENDIZAJE SENA

Especialización Tecnológica
Gestión y seguridad de bases de Datos
2019
 INTRODUCCIÓN

En la actualidad uno de los bienes o activos mas preciados de las

organizaciones es la información la que generalmente se
encuentra en medios digitales, especialmente las organizaciones
públicas, razón por la cual se debe contar con un plan estratégico
para salvaguardar y recuperar en un determinado momento.

Diseñar un proceso de preservación de la información ante

desastres, evita la perdida de información de la organización y
permitirá minimizar impactos desfavorables ante estas
situaciones, la recuperación de información debe contar con un
nivel aceptable según los controles o procesos planeados.

El identificar procesos críticos para el modelo del negocio

permitirá diseñar un plan de Desastres favorable según las
necesidades y actividades propias de la entidad.

Es importante que el Plan de desastres de cumplimiento a

estándares y normatividades con un estándar de calidad.
PLANTEAMIENTO DEL
PROBLEMA
Las alcaldías como entidades gubernamentales deben
salvaguardar uno de sus activos más preciados La Información
.Es necesario contar con un plan de desastres el cual permitirá
que la información no se pierda y poder recuperara en el
menor tiempo posible.

Las entidades no solo están expuestas a desastres naturales si

no también a fallas humanas o ataques que vulneren su
seguridad, por lo que el plan de desastres debe contar con
items que permitan brindar seguridad de este tipo.

OBJETIVOS
GENERAL

Plantear un plan de desastres que salvaguarde la

información de la alcaldía y que le permita a todas las
entidades de la organización poder acceder a backups.

ESPECÍFICOS

Elaborar plan de configuración para backups del SMBD.

Diseñar el plan de configuración detallando especificaciones
para ajustes de: memoria, gestión de usuarios, instancias,
almacenamiento y tipos de archivos,
involucrar las acciones de recuperación de información ante
posibles desastres informáticos.
Brindar orden y coherencia con los propósitos de un
Administrador de Bases de Datos
 MARCO TEÓRICO
Un sistema integrado de información (Hardware, Software) está expuesto a diversos
Factores de Riesgo Humano y Físicos; convirtiendo estos en una fuente de problemas
serios para las organizaciones.

En caso de cualquier eventualidad que debilite o ponga en riesgo la operabilidad de la

organización, la velocidad en la determinación de la gravedad del problema y la solución
del mismo depende de la capacidad y la estrategia a seguir para señalar con precisión
los protocolos a ejecutar, por ejemplo: ¿Qué componente ha fallado?, ¿Cuál es el dato o
archivo con información se ha perdido, en que día y hora se ha producido y cuán rápido
se descubrió? Estos problemas menores y mayores sirven para retroalimentar nuestros
procedimientos y planes de configuración y recuperación de la Información.

Determinar de manera oportuna una falla o contar con planes que puedan evitar
pérdidas de información catastróficas a partir de fallos o eventos inesperados, que
afecten componentes críticos (el disco duro), bien por grandes desastres Naturales
(incendios, terremotos, sabotaje, etc.) o por fallas técnicas (errores humanos, virus
informático, etc.) que pueden producir daño físico irreparable.

Sin importar la magnitud del percance el tiempo de recuperación es elemento que no solo es de
medición sino de premura para que el sistema pueda iniciar nuevamente su operación , lo que con
frecuencia se convierte en la fuerte inversión en recursos humanos y técnicos para reconstruir
sistema(s) o subsistema(s) de Red o de Información; teniendo presente que la información, es el eje
fundamental en la planeación e implementación de seguridad informática, ya sea a nivel de
hardware o software, dejando siempre presente que la información no sea robada ni manipulada
con fines maliciosos.

El salvaguardar la información evitando en lo posible la pérdida, destrucción, robo y otras

amenazas de una empresa, consiste en abarcar la preparación e implementación de un completo
Plan de Contingencia Informático El plan de Contingencia indica las acciones que deben tomarse
inmediatamente tras el desastre o eventualidad que vulnere la información. Lo importante del plan
es la organización de la contingencia, en el que se detallan los nombres de los responsables,
acciones a seguir y diferentes responsabilidades.

Plan de Contingencia es la planeación de un Plan de que complete a finalidad la realización de

Backups, elemento primordial y necesario para la recuperación.
 ESPECIFICACIONES DEL PLAN
 Para que un plan de recuperación ante
desastres funcione, debe haber una
articulación de cada una de las
dependencias con la oficina de Sistemas,
para que cada uno establezca prioridades
y políticas que se deben cumplir con el
trato de la información.

Adicionalmente, deben proveer los recursos necesarios para un desarrollo efectivo del
plan.

Todas las secretarias y oficinas que hagan parte de la Alcaldía participan en la

definición del plan.

Teniendo presente que cada una de las computadoras en la Alcaldía de San Antonio
del Sena que hacen parte de la Red de la Alcaldía y comparten infraestructuras de:
sistemas de comunicación, sistemas de información, conectividad y servicios
Informáticos que se brinda de forma interna y externa a las diferentes Oficinas, y
dependencia adscrita a la Alcaldía. Puntos a tener presente son la conectividad y
principalmente el servidor que aloja cuentas de usuarios y bases de datos.

Esta Alcaldía debe preparar un análisis de riesgo y crear una lista de posibles desastres naturales,
situaciones complejas o daños causados por errores humanos, y clasificarlos según sus
probabilidades. Una vez terminada la lista, cada dependencia debe analizar las posibles
consecuencias y el impacto relacionado con cada tipo de desastre. Esto servirá como referencia para
identificar lo que se necesita incluir en el plan. Un plan completo debe considerar una pérdida total
del centro de datos y eventos de larga duración de más de una semana.

Una vez definidas las necesidades de cada departamento, se les asigna una prioridad. Esto es
importante, porque ninguna compañía tiene recursos infinitos. Los procesos y operaciones son
analizados para determinar la máxima cantidad de tiempo que la organización puede sobrevivir sin
ellos. Se establece un orden de recuperación según el grado de importancia. Esto Se define
como el, Tiempo de Recuperación o punto de recuperación.
 RECONOCIMIENTO DE RIESGOS
Se realiza un reconocimiento o interpretación de todos los elementos de riesgos a los
cuales está expuesto el conjunto de equipos informáticos y la información almacenada
determinando cuales deben ser protegidos.
Se identifican los vulnerables a riesgos:
1 Personal.
2 Hardware.
3 Software.
4 Datos e información.
5 Documentación.
6 Suministro de energía eléctrica.
7 Suministro de telecomunicaciones.

 
Los posibles daños pueden referirse a:
Por problemas o inconvenientes de infraestructura en las instalaciones, naturales o
humanas, se presenta la imposibilidad de acceso a los recursos. Imposibilidad de acceso a
los recursos informáticos, sean estos por cambios involuntarios o intencionales, tales como
cambios de claves de acceso, eliminación o borrado físico/lógico de información clave,
proceso de información no deseado. Divulgación de información a instancias fuera de la
institución y que afecte su patrimonio estratégico, sea mediante Robo o Infidencia.

Fuentes de daño
Las posibles fuentes de daño que pueden causar la no operación normal de la compañía son:
Acceso no autorizado
Ruptura de las claves de acceso al sistema computacionales.
Desastres Naturales: Movimientos telúricos Inundaciones.
Fallas en los equipos de soporte (causadas por el ambiente, la red de energía eléctrica, no
acondicionamiento atmosférico necesario)
Fallas de Personal: por los siguientes inconvenientes: Enfermedad, Accidentes Renuncias abandono
de sus puestos de trabajo entre otros.
Fallas de Hardware:
a) Falla en los Servidores (Hw)
b) Falla en el hardware de Red (Switches, cableado de la Red, Router, Firewalls)
ANÁLISIS EN LAS FALLAS EN LA
SEGURIDAD
En este se abarca el estudio del hardware, software, la ubicación física de cada host
que hace parte de la alcaldía, con el objeto de identificar los posibles resquicios en la
seguridad que pudieran suponer un peligro.

Las fallas en la seguridad de la información y por consiguiente de los equipos

informáticos, es una cuestión que llega a afectar, incluso, a la vida privada de la
persona, de ahí que resulte obvio el interés creciente sobre este aspecto. La seguridad
de la información tiene dos aspectos importantes como:
Negar el acceso a los datos a aquellas personas que no tengan derecho a ellos.
Garantizar el acceso a todos los datos importantes a las personas que ejercen
adecuadamente su privilegio de acceso, las cuales tienen la responsabilidad de
proteger los datos que se les ha confiado.

Protecciones a tener en cuenta: Se planean las siguientes acciones:

Hacer copias de los archivos que son vitales para la institución.
Cuidado con hurtos o perdidas de dispositivos de almacenamiento.
Falla de los equipos, se realiza el mantenimiento de forma regular en los casos de demora en la
actualización de tecnologías.
Daños por virus, todo el software que llega se analiza en un sistema utilizando software antivirus.
Capacitaciones para evitar equivocaciones, los empleados deben contar con una formación o
conocimientos técnicos básicos.
Cuando se requiera de personal temporal ser cuidadosos en conseguir a empleados
debidamente preparados.
Desastres Naturales, no es posible proteger las instalaciones físicas frente a estos fenómenos y las
oficinas de prevención deben brindar capacitaciones a funcionarios.

Estrategias de recuperación
Se dispone de alternativas prácticas para proceder en caso de un desastre, falla o vulnerabilidad.
Todos los aspectos de la organización son analizados, incluyendo hardware, software, comunicaciones,
archivos, bases de datos, instalaciones, etc. Las alternativas a considerar varían según la función del
equipo y pueden incluir duplicación de centros de datos, alquiler de equipos e instalaciones, contratos
de almacenamiento y muchas más. Igualmente, se analiza los costos asociados.
 ANÁLISIS EN LAS FALLAS EN LA
SEGURIDAD
Componentes esenciales.
Entre los datos y documentos que se debe proteger se encuentran listas, inventarios, copias
de seguridad de software y datos, cualquier otra lista importante de materiales y
documentación.

La creación previa de plantillas de verificación ayuda a simplificar este proceso. Uso o

planteamiento de una cuenta Cloud que permita de manera automatizada generar
backups de manera automática según el periodo de tiempo establecido por cada una de
las dependencias u oficinas.

El costo de la Recuperación en caso de desastres severos, como los de un terremoto que

destruya completamente el interior de edificios e instalaciones, estará directamente
relacionado con el valor de los equipos de cómputo e información que no fueron
informados oportunamente y actualizados en la relación de equipos informáticos
asegurados que obra en poder de la compañía de seguros.
El paso inicial en el desarrollo del plan contra desastres es la identificación de las personas
que serán las responsables de crear el plan y coordinar las funciones. Técnicamente las
personas pueden ser: personal del CIT, personal de Seguridad.

Las actividades por realizar en un Plan de Recuperación de Desastres se clasifican en tres etapas:
Actividades Previas al Desastre.
Actividades Durante el Desastre.
Actividades Después del Desastre.
 
Actividades previas al desastre.
Se considera las actividades de planteamiento, preparación, entrenamiento y ejecución de actividades
de resguardo de la información, que aseguraran un proceso de recuperación con el menor costo
posible para la institución.
 
Establecimientos del Plan de Acción
En esta fase de planeamiento se establece los procedimientos relativos a:
Sistemas e Información.
Equipos de Cómputo.
Obtención y almacenamiento de los Respaldos de Información (BACKUPS). Políticas (Normas y
Procedimientos de Backups).
ANÁLISIS EN LAS FALLAS EN LA
SEGURIDAD
Sistemas de Información
La Alcaldía deberá contar de manera oportuna con cada uno de los Sistemas de
Información con los que cuenta, tanto los de desarrollo propio, como los desarrollados
por empresas externas. Los Sistemas y Servicios críticos para la UNP, son los siguientes:

Lista de Sistemas Sistema Integrado de Administración Financiera (SIAF):

Sistema de información asociado a la ejecución del presupuesto anual, de registro
único de las operaciones de gastos e ingresos públicos, lo opera la Oficina Central de
Ejecución Presupuestaria.
Sistema de Tramite Documentario:
Sistema de información que permite el registro y seguimiento de los documentos. Lo
operan todas las áreas funcionales. Se recomienda para este proceso Sistema de
Gestión documental o en lo posible digitalización de documentos.
Sistema de Gestión Administrativa – Ingresos: Sistema
de información que permite el registro y control de los ingresos. Lo operan todas las
áreas funcionales Administrativas.
Sistema de Abastecimientos:
Sistema de información que permite el registro y control de las Órdenes de Trabajo, almacén.
Sistema de Control de Asistencia del personal:
Lo opera la Oficina Central de Recursos Humanos.
Sistema de comunicaciones
Servicios Web:
Publicación de páginas Web, noticias de la Alcaldía de San Antonio del Sena. Internet, Intranet.
Servicio de Monitoreo de la red:
Monitorea los equipos de comunicación distribuidos en la red La Alcaldía de manera local o
remota según políticas y parámetros de cada una de las dependencias.
Equipos de Cómputo:
Inventarios de software y hardware. Así como un listado sobre usuarios y permisos. Reconocer pólizas
de seguros para una mejor protección de los activos institucionales.
 ANÁLISIS EN LAS FALLAS EN LA
SEGURIDAD
Determinación de Prioridades.
Señalización o etiquetamiento de las computadoras de acuerdo con la importancia de su
contenido y valor de sus componentes, para dar prioridad en caso de evacuación. Por
ejemplo, etiquetar de color rojo los servidores, color amarillo a los PC con información
importante o estratégica, y color verde a las demás estaciones (normales, sin disco duro o
sin uso). Determinando estas prioridades se realizará una obtención y almacenamiento de
Copias de Seguridad (Backups) según los tiempos especificados.

Se debe contar con procedimientos para la obtención de las copias de seguridad de todos
los elementos de software necesarios para asegurar la correcta ejecución de los
sistemas en la institución.

Copias de Seguridad Sugeridas.

1. Backup del Sistema Operativo: o de todas las versiones de sistema operativo instalados en la Red
incluyendo licencias y usuarios.
2. Backup de Software Base: (Lenguajes de Programación utilizados en el desarrollo de los aplicativos
institucionales).
3. Backup del software aplicativo: programas fuente y los programas ejecutables.
4. Backups de los datos (Base de datos, password y todo archivo necesario para la correcta ejecución
del software aplicativos de la entidad).
5. Backups del Hardware, Implementar inventarios para reposiciones de equipos o concesiones de
leasing

Políticas (Normas y Procedimientos)

Se debe establecer procedimientos, normas y de terminación de responsabilidades en la obtención de
los "Backups" o Copias de Seguridad. Se debe considerar:
Periodicidad de cada tipo de Backus: los backups de los sistemas informáticos se realizan Según
requerimientos o necesidades de cada secretaria o dependencia. Siempre dando cumplimiento a
estándares de calidad.
ANÁLISIS EN LAS FALLAS EN LA
SEGURIDAD
programar un Backus de manera automática según necesidades.
Sistema de control y registro de ejecución del programa de backups diarios,
semanales y/o mensuales donde se evidencien los resultados de las operaciones del
backups realizados y su respectivo almacenamiento.
Almacenamiento de los backups en condiciones ambientales optimas,
dependiendo del medio magnético empleando.
Reemplazo de los backups, en forma periódica, antes que el medio magnético de
soporte se pueda deteriorar. No se realiza reemplazos, pero se realiza copias de
estas, considerando que no se puede determinar exactamente el periodo de vida
útil del dispositivo donde se ha realizado el Backups.
Distribución de los backups en oficinas determinadas por el comité designado.
Almacenamiento de los backups en host diferentes donde reside la información
primaria (evitando la pérdida si el desastre alcanzo todo el edificio local).
Uso de un servidor cloud para almacenamiento de copias de seguridad.

Criterios y procedimientos de prueba del plan

La destreza indica que los planes de recuperación deben ser probados en su totalidad por lo menos
una vez al año. La documentación debe especificar los procedimientos y la frecuencia con que se
realizan las pruebas. Las razones principales para probar el plan son:
Verificar la validez y funcionalidad del plan, determinar la compatibilidad de los procedimientos e
instalaciones, identificar áreas que necesiten cambios, entrenar a los empleados y demostrar la
habilidad de la organización de recuperarse de un desastre.
Después de las pruebas el plan debe ser actualizado. Se sugiere que la prueba original se realice en
horas que minimicen trastornos en las operaciones. Una vez demostrada la funcionalidad del plan,
se debe hacer pruebas adicionales donde todos los empleados tengan acceso virtual y remoto a
estas posiciones y funciones en el caso de un desastre. “Un plan sin probar es igual que no tener un
plan”.
Aprobación final
Después de que el plan haya sido puesto a prueba y corregido, la gerencia deberá aprobarlo. Ellos son
los encargados de establecer las pólizas, los procedimientos y responsabilidades en caso de
contingencia, y de actualizar y dar el visto al plan anualmente. A la vez, sería recomendable evaluar los
planes de contingencia de proveedores externos.
“El plan de recuperación ante desastres debe ser considerado un seguro fundamental". A pesar de que
requiere una cantidad considerable de recursos y dedicación, es una herramienta vital para la
supervivencia de las organizaciones.