BACKUP

QUE ES Y PORQUE
ES IMPORTANTE REALIZARLO
EN LAS EMPRESAS

Daniel Cardona
TCSD 1
2397539

SENA
SALOMIA
CEAI
2022
CONTENIDO

1. INTRODUCCIÓN
2. PLANTEAMIENTO DEL PROBLEMA
3. OBJETIVOS DEL PROYECTO
3.1. OBJETIVO GENERAL
3.2. OBJETIVOS ESPECIFICOS
4. MARCO REFERENCIAL
4.1. MARCO CONCEPTUAL
4.1.1. Tipos de respaldo de información
4.1.1.1. Copia de seguridad completa
4.1.1.2. Copia de seguridad incremental
4.1.1.3. Copia de seguridad diferencial
4.1.2. Servidores que se tienen actualmente en la empresa
4.2. MARCO TEORICO
4.2.1. Topologia de red manejada en la empresa de contact center
4.2.1.1. Topologia en estrella
4.2.2. Algunas soluciones externas para realización de backup
4.2.2.1. Bacula - La solución de backup open source basada en red
4.2.2.2. Symantec
4.2.2.3. Amazon S3 - Backups online
4.2.3. Casos éxito en realización de backups
4.2.3.1. Globosat Programadora Ltda.
4.2.3.2. FGC toma un tren rápido hacia el Backup y Recuperación de VMs
5. METODOLOGIA PROPUESTA
5.1. Ciclo de vida del proceso
5.2. Estándar ISO/IEC 27002

2
5.3. Ciclo de seguridad
6. DESARROLLO DEL PROYECTO
6.1. Identificación de vulnerabilidades
6.2. Análisis de resultados
6.3. Vulnerabilidades críticas
6.4. Recomendaciones para solucionar las vulneravilidades
6.5. Proceso para relización de backups
6.5.1. Seleccionar perfil de personal que realiza el backup
6.5.2. Identificar información sensible y servidores donde reposa
6.5.3. Analizar capacidad y rendimiento de servidores
6.5.4. Hora de realización de backup's
6.5.5. Defincion de software o herramienta de realizacion de backups, para
determinar los tipos de bakups y realizacion de pruebas.
6.5.5.1. Software utilizado en realización de backup's
6.5.6. Desarrollo de cronograma de realización de backup y restauración
6.5.7. Realización de backup.
6.5.8. Realización de restauración
6.5.9. Elección de medio de respaldo, realización de backup y exteriorizar
datos.
6.5.10. Etiquetado de medios de respaldo
6.5.11. Documentación de procesos
6.5.12. Entregar información restaurada al solicitante
6.5.13. Recomendaciones
7. CONCLUSIONES
8. BIBLIOGRAFIA

3
GLOSARIO

ACEPTACIÓN DEL RIESGO: Decisión de asumir un riesgo.

ACTIVO: Es todo registro físico o magnético, verbal y de conocimiento que tiene

valor para la organización.

ANÁLISIS DE RIESGO: Uso sistemático de la información para identificar las

fuentes y estimar el riesgo.

BACKUP: Es una copia de los datos de un fichero automatizado en un soporte

que posibilite su recuperación.

BPO: Business Process Outsourcing, es la subcontratación de funciones del

proceso de negocio en proveedores de servicios, ya sea internos o externos a la
empresa, usualmente menos costosos o más eficientes y eficaces.

CONFIDENCIALIDAD: Aseguramiento de que la información es accedida solo por

el personal autorizado.

DATO: Una representación física de la realidad.

DISPONIBILIDAD: Aseguramiento de que los usuarios autorizados tengan acceso

a la información cuando lo requieran.

INTEGRIDAD: Garantía de la exactitud y completitud de la información y los

Métodos de procesamiento.

SEGURIDAD DE LA INFORMACIÓN: Preservación de la confidencialidad, la

integridad y la disponibilidad de la información; además, puede involucrar otras
propiedades tales como: autenticidad, trazabilidad, no repudio y fiabilidad.
 RESUMEN

En el presente proyecto desarrollado en una empresa de contact center en el área

de BPO se desarrollo un estudio para la implementación de un buen procedimiento
en la realización de backup’s, dicho estudio fue realizado siguiendo las buenas
prácticas y recomendaciones presentadas por los ciclos de seguridad de la
información, y siguiendo los estándares de la ISO/IEC 27002, la razón de
optimización de los procesos de backup principalmente se desarrolló, para ayudar
a recuperar los datos importantes, en casos de algún incidente que involucre la
perdida de información. Además esta buena práctica fortalecerá el desarrollo y
crecimiento de la empresa, fomentando una cultura sana de seguridad de la
información en la realización de backup's; además, protegiendo el activo más
importante que es la información, lo que apoyará los procesos futuros de re
certificación en gestión de la calidad y seguridad de la información.

Inicialmente se hizo un análisis de vulnerabilidades las cuales fueron detectadas

mediante una encuesta a los usuarios de la organización, identificando las
mayores vulnerabilidades en los procesos de backup de información,
seguidamente se elaboró un proceso de respaldo de información con la realización
de pruebas en servidores de rendimiento, tiempo y capacidad. Por otro lado
también fue importante verificar como se realizarían los backup y los tipos de
backup a implementar en la organización para tener copias confiables de la
información, por consiguiente se desarrollo un cronograma semestral para el
cumplimiento de actividades. Adicionalmente hubo un desarrollo de formatos para
el etiquetado de citas de respaldo, control de entregas de backup de grabaciones,
control de backup’s, restauraciones y manuales de usuario para el respaldo de
información. Así mismo se concluyó que los procesos tuvieron mejoras en la
empresa de contact center en cuanto al control y continuidad de los procesos de
respaldo de información y la disponibilidad e integridad de la información.

Palabras Clave: Vulnerabilidades, backup, restauración, proceso.

 1. INTRODUCCIÓN

A través del tiempo se ha venido presentando la necesidad de implementar nuevas

y mejores prácticas en el uso de herramientas para el manejo de información a
nivel empresarial, debido a que la información es el activo más importante de una
organización y debe ser integra, confidencial y disponible; por ello es de vital
importancia tener un respaldo continuo de esta con el fin de evitar pérdidas, robos
y alteraciones de información.

Este proyecto tiene como propósito mejorar el proceso de respaldo de información

de una empresa de contact center, mediante la utilización de buenas prácticas.
Para esto, se realizará un estudio, con el fin de determinar el proceso más
adecuado, teniendo en cuenta el tipo de información a respaldar que reposa en los
servidores físicos y virtuales que están alojados en un centro de computo de la
empresa y operados bajo plataformas Windows, así mismo se desarrollarán
pruebas de respaldo y restauración de información y se implementarán de forma
periódica. También es importante evaluar cómo está identificada la información
contenida en los medios magnéticos Tape Backup que actualmente hay en
existencia.

2. PLANTEAMIENTO DEL PROBLEMA

Actualmente la empresa de contact center, cuenta con un procedimiento para la

realización de copias de seguridad de la información importante, este se hace sin
seguir normas técnicas o estándares; por tal motivo se han presentado
inconvenientes y quejas por parte de los clientes de la empresa, cuando se
requieren restauraciones de archivos que se eliminaron accidentalmente o que
perdieron su integridad. El inadecuado respaldo de información está generando
problemáticas que se ven reflejadas en dinero, tiempo y consumo de recursos,
para la empresa.
Las actividades que se manejan en el respaldo de información de la compañía, se
realizan manualmente, y se ejecutan en diferentes meses del año, el personal
responsable de esta tarea no la realizan de forma continua ni controlada.
Por otro lado, los Backup's de información en medios magnéticos tipo TAPE
Backup, están almacenados en la misma sede de la empresa, y no se encuentran
debidamente etiquetados; por consiguiente, es difícil identificar la información que
estos poseen en el caso que se llegue a necesitar una restauración.
3. OBJETIVOS DEL PROYECTO

3.1. OBJETIVO GENERAL

Implementar un proceso basado en una buena práctica, como procedimiento

para el respaldo de la información que se encuentra alojada en los servidores
de una empresa de contact center.

3.2. OBJETIVOS ESPECIFICOS

• Identificar y analizar las vulnerabilidades presentadas en la actividad de

respaldo de información.
• Generar un proceso para el respaldo de información, que permita tener
disponibilidad de los datos de forma inmediata, en el momento de una
contingencia.
• Documentar el proceso de respaldo de información, para evidenciar de forma
clara y concreta las herramientas y procedimientos que se deben tener en
cuenta para dicho proceso.

4. MARCO REFERENCIAL

4.1. MARCO CONCEPTUAL

A continuación se desarrolla que son los respaldos de información, porque son

importantes, para que se desarrollan y como se pueden aplicar para las empresas
que tienen su información centralizada y seleccionada.
Se puede definir un respaldo de información como una copia exacta de la
información en un espacio diferente o medio de almacenamiento masivo, como se
afirma a continuación: “La palabra "Backup" es una copia de los datos de un
fichero automatizado en un soporte que posibilite su recuperación.” 1

1 GÓMEZ Álvaro. Enciclopedia de la seguridad informática. Alfa y omega grupo editor. Primera edición.
Esta práctica se ha venido desarrollando a través del tiempo, desde sus inicios
cuando se implementó la primera computadora diseñada por John Von Neuman a
la cual llamo Eniac, realizando los backup’s por medio de tarjetas perforadas. 2
Hasta el día de hoy se han venido evolucionando el concepto de realización de
respaldos de información debido a que la tecnología avanza rápidamente,
actualmente se utiliza diferentes medios y procesos para realizar los backup’s, es
importante la realización de respaldos pues la información es catalogada como
uno de los activos más importantes para las empresas.
Teniendo en cuenta lo mencionado anteriormente, los activos se puede definir,
como lo plantea la norma ISO 27000: “Cualquier cosa que tenga valor para la
organización (ISO/IEC 13335-1:2004)” 3. Partiendo de este concepto nos referimos
a la información como uno de los activos mas importares para una empresa. Así
mismo se relaciona lo que comprende la información: “...bases de datos y archivos
de data, contratos y acuerdos, documentación del sistema, información de
investigaciones, manuales del usuario, material de capacitación, procedimientos
operacionales o de soporte, planes de continuidad del negocio, acuerdos para
contingencias, rastros de auditoría e información archivada.” 4. Por ello la
información tiene tres pilares importantes los cuales hay que cuidar y mantener
que son la confidencialidad, integridad y la disponibilidad.
La confidencialidad es la propiedad de que la información sea accedida
únicamente por los usuarios autorizados para consultarla, como lo afirma la
norma.4

Es necesario que la información siempre sea integra debido a que es la propiedad

que busca mantener con exactitud la información tal cual fue generada, sin ser
manipulada o alterada por personas o procesos no autorizados. 5 La violación de
integridad se produce en el momento que un usuario o programa modifica o borra
los datos que son parte de la información.

México, 2007. 195 p. ISBN 978-970-15-1266-1

2 BOCHNER, S. (2958). John von Neumann, 1903 - 1957. [en línea]. A biographical memoir. [washington
d.c.] Copyright 1958[Consultado 15-03-2013] Disponible en web:
<http://books.nap.edu/html/biomems/jvonneumann.pdf >
3 ISO/IEC. Tecnología de la Información – Técnicas de seguridad – Código para la práctica de la gestión de
la seguridad de la información. 17799 Segunda edición. [en linea]. 2005-06-15 [Consultado 1503-2013]
Disponible en web: < https://mmujica.files.wordpress.com/2007/07/iso-17799-2005-castellano.pdf> 4 Ibid., p.
37
4 SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN. TÜV SÜD Iberia, S.L.U. España.
2012. C/Frederic Mompou 8 p [en linea]. ] [Consultado 15-03-2013] Disponible en web: <
http://www.tuvsud.es/uploads/images/1350635458019372390409/pdf2-0039-iso-iec-27001-es-260412.pdf >
5 NTP-ISO/IEC Tecnología de la Información – Técnicas de seguridad – Sistemas de gestión de seguridad de
la información 27001. Primera edición. [en línea]. 2008-12-12 [Consultado 15-03-2013] Disponible en web:
<http://bvirtual.indecopi.gob.pe/normas/isoiec27001.pdf>
En cuanto a la disponibilidad es la característica que garantiza que los usuarios
autorizados tengan acceso a la información y activos asociados cuando sea
necesario.67

Una empresa prospera cuando la información está disponible en el momento

necesario, de lo contrario causaría un impacto inmediato en la productividad, en la
satisfacción de los clientes y en los beneficios. La disponibilidad de la información
está directamente relacionada con la flexibilidad empresarial. Los desastres
pueden destruir grandes volúmenes de datos y trabajo y tener efectos
devastadores en la viabilidad del negocio. 8

Basándose en las características de la información mencionadas, es aconsejable

que las empresas velen por mantenerlas y cumplirlas para que así mismo puedan
prevenir cualquier tipo de inconvenientes en un futuro.
Debido a esto es importante aclarar los diferentes tipos de copias de seguridad, a
nivel general que existen y como deben llevarse acabo en los procesos de
respaldo de información, para cumplir con los pilares de la información
mencionados anteriormente, a continuación se explica el funcionamiento de cada
copia de seguridad para luego realizar el respaldo de información en unidades
externas como lo son DVD, Tapes LTO, Discos duros externos, en red de servidor
a servidor, entre otros.

4.1.1. Tipos de respaldo de información

4.1.1.1. Copia de seguridad completa

Copia de seguridad completa es el punto de partida para el resto de las copias de
seguridad y contiene todos los datos de las carpetas y los archivos que se han
seleccionado para la copia de seguridad. Debido a que la copia de seguridad
completa almacena todos los archivos y carpetas, copias de seguridad completas
frecuentes resultan en operaciones de restauración más rápida y más simple.
Recuerde que cuando se elige otro tipo de copia de seguridad, tareas de
restauración pueden tardar más tiempo.

Sería ideal para hacer copias de seguridad completas todo el tiempo, ya que son
los más completos y son auto-contenida. Sin embargo, la cantidad de tiempo que
se necesita para ejecutar copias de seguridad completas a menudo nos impide
utilizar este tipo de copia de seguridad. Copias de seguridad completas a menudo
se limitan a un horario semanal o mensual, aunque el aumento de la velocidad y la
capacidad de los medios de copia de seguridad están haciendo copias de
seguridad completas durante la noche una propuesta más realista.

6 Ibíd., p. 3 8 IBM. Infraestructura de la información. [en línea]. Disponible en web:

<http://www-
7 .ibm.com/systems/es/information_infrastructure/solutions/information_availability/>[Consultado 15-032013]
Copias de seguridad completas ofrecen la mejor solución en protección de datos y
teniendo en cuenta que se puede programar una copia de seguridad para que se
ejecute automáticamente, requiere poca intervención en comparación con los
beneficios. Una sola copia de seguridad completa proporciona la capacidad de
restaurar completamente todos los archivos y carpetas de la copia de seguridad,
como se ejemplifica en la siguiente imagen:
Backup
Completo 4
Backup
Completo 3 4GB
Archivos
Backup nuevos /
Completo 2 3GB modificados
Backup Archivos
Completo nuevos /
1 2GB modificados
Archivos
nuevos /
1 GB modificados
Datos de Datos de la Datos de la Datos de la
la fuente fuente fuente fuente
original original original original
Figura 1. Copia de seguridad completa. Fuente. El autor
Sin embargo, debe ser consciente de un problema de seguridad importante: cada
copia de seguridad completa contiene una copia completa de los datos. Si los
medios de copia de seguridad debían ser visitada, robados o perdidos ilegalmente,
toda la copia de sus datos podría estar en manos de personas no autorizadas. Por
eso, cuando la decisión de utilizar un programa de copia de seguridad para
realizar copias de seguridad completas, asegúrese de que es compatible con el
cifrado para proteger los datos de copia de seguridad.

Tabla 1. Ventajas y desventajas copia de seguridad completa. Fuente. Backup4all

Las ventajas Las desventajas

 • Restaurar es
más rápido
• Los datos de copia de
seguridad de todo se almacena
en un único archivo (mejor
gestión de almacenamiento)
el • Copia de seguridad es el más
lento en comparación con otros tipos
de copia de seguridad
• Los requisitos de espacio de
almacenamiento son los más altos (en
comparación con copia de seguridad
incremental o de copia de seguridad
diferencial ). Teniendo en cuenta
cómo los dispositivos de
almacenamiento baratos están ahora,
esto es una desventaja de bajo
impacto.

Como recomendación, aunque llena de copia de seguridad ofrece la mejor

protección, es bueno contar con una estrategia de copia de seguridad en el lugar
donde se realizan copias de seguridad completas semanales, y los tipos de copia
de seguridad más rápidas (como incremental) se ejecutan diariamente. 8

4.1.1.2. Copia de seguridad incremental

Copia de seguridad incremental almacena todos los archivos modificados desde el
último respaldo completo, diferencial o copia de seguridad incremental. La ventaja
de una copia de seguridad incremental es que se tarda menos tiempo para
terminar. La desventaja es que, durante una operación de restauración, cada
incremento se procesa, lo que podría resultar en una tarea de restauración largo.
Copia de seguridad incremental proporciona un método más rápido de copia de
seguridad de datos que se ejecuta repetidamente copias de seguridad completas.
Durante una copia de seguridad incremental, sólo los archivos modificados desde
la última copia de seguridad se incluyen. Ahí es donde se pone su nombre: cada
copia de seguridad es un incremento de una copia de seguridad anterior.
La representación siguiente muestra cómo un trabajo de copia de seguridad se
ejecuta cuatro veces parecería al utilizar incrementales:

Backup
Completo
10GB
Incremental Incremental
1 1

8 Backup4all. full backup. 2011. [En línea]. Disponible en web: <,http://www.backup4all.com/kb/fullbackup-

116.html>[Consultado 15-03-2013]
 Incremental
1GB 2 1GB
0.5GB
Datos de Archivos Archivos Archivos
la fuente nuevos / nuevos / nuevos /
original modificados modificados modificados
Figura 2. Copia de seguridad incremental. Fuente. El autor
El tiempo que se tarda en ejecutar la copia de seguridad puede ser una fracción
del tiempo que se tarda en realizar una copia de seguridad completa. Backup4all
es un programa de copia de seguridad que admite copias de seguridad
incrementales, y utiliza la información registrada en su archivo de catálogo (. BKC)
para determinar si cada archivo ha cambiado desde la última copia de seguridad.

La ventaja de los tiempos de copia de seguridad más bajos tiene un precio:

aumentado el tiempo de restauración. Al restaurar desde copia de seguridad
incremental, se necesita el respaldo completo más reciente, así como cada copia
de seguridad incremental que ha realizado desde la última copia de seguridad
completa.

Por ejemplo, supongamos que usted hizo una copia de seguridad completa el
viernes y copias de seguridad incrementales de lunes, martes y miércoles. Si tiene
que restaurar la copia de seguridad el jueves por la mañana, usted necesitaría los
cuatro archivos contenedores de copia de seguridad: copia de seguridad completa
del viernes, además de la copia de seguridad incremental para el lunes, martes y
miércoles. En comparación, si hubieras ejecutar copia de seguridad diferencial el
lunes, martes y miércoles, luego de restaurar el jueves por la mañana que habría
necesitado sólo del viernes copia de seguridad completa más el diferencial del
miércoles.9

Tabla 2. Ventajas y desventajas copia de seguridad incremental. Fuente.

Backup4all
Las ventajas Las desventajas

9 Backup4all. Incremental backup. 2011. [En línea]. Disponible en web:

<http://www.backup4all.com/kb/incremental-backup-118.html >[Consultado 15-03-2013]
 Es el tipo de copia de seguridad Restauración completa es lento en
más rápido, ya que sólo realiza comparación con otros tipos de
copias de incrementos-up. copia de seguridad (es necesario la
Ahorra espacio de primera copia de seguridad
almacenamiento en comparación completa y todos los incrementos
con otros tipos. desde entonces).
Cada incremento de copia de Para restaurar la última versión de
seguridad puede almacenar una un archivo individual el incremento
versión diferente de un archivo / que lo contiene se debe encontrar
carpeta. primero.

4.1.1.3. Copia de seguridad diferencial

Copia de seguridad diferencial contiene todos los archivos que han cambiado
desde la última copia de seguridad completa. La ventaja de una copia de
seguridad diferencial es que se acorta el tiempo de restauración en comparación
con una copia de seguridad completa o una copia de seguridad incremental. Sin
embargo, si se realiza la copia de seguridad diferencial demasiadas veces, el
tamaño de la copia de seguridad diferencial podría llegar a ser más grande que la
copia de seguridad completa inicial.
Existe una diferencia significativa, pero a veces confusa, entre copia de seguridad
diferencial y copias de seguridad incrementales. Mientras espalda incremental de
seguridad de todos los archivos modificados desde la última copia de seguridad
completa, diferencial o copia de seguridad incremental, copia de seguridad
diferencial ofrece un término medio de copia de seguridad de todos los archivos
que han cambiado desde la última copia de seguridad completa. Ahí es donde se
pone su nombre: realiza copias de seguridad todo lo que es diferente desde la
última copia de seguridad completa.
En la siguiente imagen se puede ver un ejemplo de cómo una copia de seguridad
diferencial se vería como un trabajo de copia de seguridad que se ejecuta cuatro
veces:

Backup
Completo

10GB Diferencial 3
Diferencial 2 1,5 GB
Archivos
Diferencial nuevos /
1 1GB modificados
 Archivos
nuevos /
0.5GB modificados
Todos los Todos los
Datos de Archivos datos datos
la fuente nuevos / diferenciales diferenciales
original modificados 1 2
Figura 3. Copia de seguridad diferencial. Fuente. El autor

Restaurar una copia de seguridad diferencial es un proceso más rápido que la

restauración de una copia de seguridad incremental, porque sólo se necesitan dos
archivos de copia de seguridad de contenedor: la última copia de seguridad
completa y la última diferencial.

Utilice copia de seguridad diferencial si usted tiene una cantidad razonable de

tiempo para realizar copias de seguridad. La ventaja es que sólo se necesitan dos
archivos contenedores de copia de seguridad para realizar una restauración
completa. El inconveniente es que si se ejecutan varias copias de seguridad
diferenciales después de la copia de seguridad completa, probablemente
incluyendo algunos archivos en cada copia de seguridad diferencial que ya se
incluyeron en las copias de seguridad diferenciales anteriores, pero no han sido
modificadas recientemente.

Tabla 3. Ventajas y desventajas copia de seguridad diferencial. Fuente.

Backup4all
Ventajas Desventajas

Restaurar es más rápida que Restaurar es más lenta que la

la restauración de copia de
seguridad incremental.
Copia de seguridad es
más rápido que una copia
de seguridad completa.
restauración de copia de seguridad
completa.
Copia de seguridad es más lento
que copia de seguridad
incremental.

La buena implementación de los anteriores tipos de backup es necesaria para

tener en la organización la información disponible e integra la cual reposa en los
servidores que maneja la empresa.10

10 Backup4all. differential backup. 2011. [En línea]. Disponible en web:

< http://www.backup4all.com/kb/differential-backup-117.html>[Consultado 15-03-2013]
4.1.2. Servidores que se tienen actualmente en la empresa

Un servidor es un dispositivo que forma parte de una red el cual distribuye o

proporciona algún servicio a un cliente. Los servidores que se disponen tienen
cada uno un rol específico dentro de la compañía y se explican a continuación:
Servidor de archivos: almacena varios tipos de archivo y los distribuye a otros
clientes en la red.11

Servidor de correo electrónico: almacena, envía, recibe, en ruta y realiza otras

operaciones relacionadas con e-mail para los clientes de la red. 12
Servidor de aplicaciones: Aloja las aplicaciones internas de la compañía. Cumple
la función de proporcionar funciones a equipos clientes.
Servidor de base de datos: Un servidor de base de datos es un programa que
provee servicios de base de datos a otros programas u otras computadoras, como
es definido por el modelo cliente-servidor. También puede hacer referencia a
aquellas computadoras (servidores) dedicadas a ejecutar esos programas,
prestando el servicio.13

Servidor de dominio: servidor que permite centralizar el trabajo de los usuarios

de la red, sus archivos, configuraciones y perfiles, en un solo ordenador, y permite
el acceso a ellos desde cualquier ordenador de la red de forma segura. 14

Servidor de impresión: controla una o más impresoras y acepta trabajos de

impresión de otros clientes de la red, poniendo en cola los trabajos de impresión
(aunque también puede cambiar la prioridad de las diferentes impresiones), y
realizando la mayoría o todas las otras funciones que en un sitio de trabajo se
realizaría para lograr una tarea de impresión si la impresora fuera conectada
directamente con el puerto de impresora del sitio de trabajo. 15

Servidor web: la función que cumple es almacenar los archivos de un sitio y

emitirlos por Internet para poder ser visitado por los usuarios. 16

11 Bermeo Aucay, Freddy Rafael. Análisis De La Seguridad Física Del Servidor Y Backup De Base De
Datos, En La Cooperativa Jardín Azuayo. Director: Ing. Marco Litúma. Cooperativa jardín azuayo. Cuenca –
Ecuador. 2011
12 Ibid,p. 11.
13 Ibid, p. 11.
14 Servicios informáticos. Servidor de archivos y dominio [En línea]. Disponible en web:
<http://www.serinformaticos.es/?file=kop404.php> [Consultado 15-03-2013]
15 BERMEO AUCAY, Freddy Rafael. Análisis De La Seguridad Física Del Servidor Y Backup De Base De
Datos, En La Cooperativa Jardín Azuayo. Director: Ing. Marco Litúma. Cooperativa jardín azuayo. Cuenca –
Ecuador. 2011
16 DUPLICA INTERNET SOLUTIOS. ¿Qué son los servidores web y por qué son necesarios? [En línea].
Disponible en web: < http://www.duplika.com/blog/que-son-los-servidores-web-y-por-que-son-necesarios >
[Consultado 15-03-2013]
Servidor antivirus: ayuda a impedir el paso a los hackers, virus y gusanos que
intenten entrar en los equipos a través de Internet. 17

4.2. MARCO TEORICO

La empresa de contact center desarrolla sus actividades en sector de mercado de

BPO; donde se comercializan productos y servicios de terceros a través de
outsoursing en el área de telemercadeo.
Siendo así para que una empresa de contact center trabaje en estos nichos de
mercado es necesaria la utilización de tecnologías de vanguardia que permitan
monitorear y evidenciar el contacto con el cliente, para ello las entidades
certificadoras aconseja utilizar diferentes plataformas avaladas por los estándares
de calidad en el área de contact center. Como CCA desarrollado por ORACLE que
permite administrar las relaciones con el cliente.
Actualmente la empresa cuenta con la información centralizada donde cada cliente
almacena información en un espacio dedicado para el desarrollo de su actividad.
Adicionalmente el software manejado por la empresa, graba de manera continua
todas las llamadas generadas de entrada y salida (inbound and outbound), para
todas las líneas de negocio. Ya que la empresa actualmente maneja un mediano
volumen de información, es importante la realización de copias de seguridad de la
información que posea la compañía.
Un aspecto que es interesante señalar en cuanto al uso de las mejores prácticas
en respaldo y aseguramiento de la información, dato brindado por la Cámara de
Comercio de Londres: “El 90% de las empresas que sufren una pérdida de datos
importante desaparece del mercado en dos años.” 18 Asunto que es importante
tener en cuenta por que la información manejada en la empresa es de alto nivel
de confidencialidad por ende es el activo más importante.
En una entrevista que realizó muycomputerpro en el artículo titulado “Las
empresas no pueden sobrevivir sin backup” el señor David Junca importante
agente de IT, responsable de Acronis para el sur de Europa, menciona: “Las
soluciones de backup y DR son una herramienta esencial. Las empresas no
pueden sobrevivir sin ellas. Desde esta perspectiva, la demanda de backup y
recuperación de desastres no ha disminuido. Debido a la crisis, algunas empresas
están retrasando la adquisición de nuevo software, lo que implica que usan
máquinas más viejas con mayor riesgo de caídas y pérdidas de información, lo

17 MICROSOFT. Proteja su PC [en línea]. Disponible en

web:
<http://www.microsoft.com/spain/seguridad/content/pc/servidoresfaq.aspx> [Consultado 15-03-2013]
18 IRON MOUNTAIN. Las cinco mejores prácticas para proteger tus copias de seguridad. 2010. [En
línea].
Disponible en web: <http://www.ironmountain.es/~/media/6EB67A91A9D04324830A64AB2B3BD98A.pdf>
[Consultado 15-03-2013]
que aumenta la necesidad de soluciones de backup...”. 19Debido a esto es
importante evaluar los diferentes procedimientos que se tienen en cuenta para la
realización de backup’s en las empresas.

4.2.1. Topología de red manejada en la empresa de contact center

4.2.1.1. Topología en estrella

Una red en estrella es una red en la cual las estaciones están conectadas
directamente a un punto central y todas las comunicaciones se han de hacer
necesariamente a través de este. Los dispositivos no están directamente
conectados entre sí, además de que no se permite tanto tráfico de información. 20

Figura 4. Topología de red en estrella. Fuente: Ventas y servicios S.A.

Esta topología tiene las siguientes ventajas:

• Solo queda fuera de la red el equipo que se desconecte no afecta a los

demás equipos.
• Se pueden agregar nuevos equipos fácilmente.
• Reconfiguración rápida.
• Fácil identificación de daños y/o conflictos.  Centralización de la red.
• Permite la realización en red de backup’s
• Permite la conexión a diferentes servidores remotamente.

19 ROJAS Elisabeth. Las empresas no pueden sobrevivir sin backup. 2011. Mcpro muycomputerpro. [En
línea]. Disponible en web:
<http://www.ironmountain.es/~/media/6EB67A91A9D04324830A64AB2B3BD98A.pdf> [Consultado 1903-
2013]
20 LAUDON Y LAUDON. Sistemas de Información Gerencial. Nicolás H. Kosciuk. 2006. [En línea].
Disponible en web: < http://ellibrolibre.com.ar/descargas/laudon.pdf >[Consultado 19-03-2013]
4.2.2. Algunas soluciones externas para realización de backup

En el transcurrir del tiempo varias empresas se han enfocado en el desarrollo de

sistemas eficientes en la realización de backup’s, ya que se ha visto la necesidad
de proteger la continuidad de los negocios y contrarrestar las preocupaciones con
respecto a la perdida de información, a continuación se mencionan dos
herramientas para la realización de backup de información.

Las diversas herramientas de software que se encuentran en el mercado están

siendo actualmente utilizadas en el desarrollo de proyectos de ingeniería.

4.2.2.1. Bacula - La solución de backup open source basada en red

Es un conjunto de programas de ordenador, que le permite al administrador del

sistema para gestionar copias de seguridad, recuperación y verificación de los
datos de la computadora a través de una red de máquinas de diferentes tipos.
Bacula también puede ejecutar por completo en un solo ordenador y hacer copias
de seguridad de varios tipos de medios, incluyendo cinta y disco. 21

En términos técnicos, es un programa de copia de seguridad basada en cliente /

servidor de red. Bacula es relativamente fácil de usar y eficaz, al tiempo que ofrece
muchas características avanzadas de almacenamiento que hacen que sea fácil de
encontrar y recuperar archivos perdidos o dañados. Debido a su diseño modular,
Bacula es escalable desde pequeños sistemas informáticos individuales a los
sistemas que consisten en cientos de ordenadores situados en una red grande. 22

4.2.2.2. Symantec

Backup Exec 2012 es un producto integrado que protege entornos físicos y

virtuales, simplifica las copias de seguridad y la recuperación después de un
desastre, y ofrece capacidades inigualables de recuperación. Basado en la
tecnología V-Ray de Symantec, Backup Exec 2012 restaura servidores enteros,
aplicaciones críticas de Microsoft y entornos virtuales VMware o Microsoft Hyper-V
para minimizar significativamente el tiempo fuera de servicio de la empresa. 23

4.2.2.3. Amazon S3 - Backup’s online

21 SIBBALD KERN Bacula. What is Bacula? 2013. [En línea]. Disponible en web:
<http://www.bacula.org/5.0.x-manuals/en/main/main/What_is_Bacula.html> [Consultado 19-03-2013]
22 Ibid.
23 SYMANTEC CORPORATION. Symantec Backup Exec. 2013 [En línea]. Disponible en web:
<http://www.symantec.com/es/mx/backup-exec>[Consultado 19-03-2013]
Ofrece un entorno altamente resistente, escalable y seguro para la copia de
seguridad y el archivado de sus datos más importantes. Podrá utilizar la función
control de versiones de Amazon S3 para proteger aún mejor sus datos
almacenados. Si cuenta con conjuntos de datos de un tamaño significativo, podrá
utilizar aws import/export para trasladar grandes cantidades de datos hacia y
desde AWS utilizando dispositivos de almacenamiento físicos. Resulta ideal para
trasladar grandes cantidades de datos para copias de seguridad de datos
periódicas, o para recuperar rápidamente datos en situaciones de recuperación de
desastres. También puede definir reglas para archivar conjuntos de objetos de
Amazon S3 en el servicio de almacenamiento de coste extremadamente bajo de
Amazon Glacier basado en la duración de los objetos. Cuando los datos
envejecen, estas reglas le permitirán garantizar que se almacenan
automáticamente en la opción de almacenamiento que le resulte más rentable. 24

4.2.3. Casos éxito en realización de backup’s

La realización de una buena práctica de backup’s actualmente es un proceso

importante para las organizaciones, debido a razones expuestas anteriormente,
por ello a continuación se destacan 2 casos éxito en la realización de backup
implementados por empresas en diferentes partes del mundo con diferentes
herramientas del mercado.

4.2.3.1. Globosat Programadora Ltda.

Productora de 95 de los 100 programas de televisión más populares de Brasil,
tiene cierta información valiosa que proteger. La empresa optimizó sus copias de
seguridad con Symantec Backup Exec y Backup Exec System Recovery, y eliminó
gastos de 114.000 USD en compras de servidores. Además, Globosat confía en
Symantec Endpoint Protection para bloquear unidades USB y aplicaciones no
autorizadas, lo que elimina las interrupciones debidas a software malicioso y
genera ganancias de 50.000 USD por año derivadas de la productividad de
usuarios. Dejar de utilizar los dispositivos IDS ahorrará a Globosat un monto
estimado de 60.000 USD en gastos de consultoría y licencias. 25

4.2.3.2. FGC toma un tren rápido hacia el Backup y Recuperación de VMs

El equipo de TI de FGC analizó dos herramientas de backup y eligió Veeam®

Backup & Replication™.

24 AMAZON WEB SERVICES. Amazon Simple Storage Service (Amazon S3). 2013. [En línea]. Disponible
en web: < http://aws.amazon.com/es/s3>[Consultado 25-03-2013]
25 SYMANTEC CORPORATION. Symantec Backup Exec. 2013 [En línea]. Disponible en web:
<https://www.symantec.com/es/mx/resources/customer_success/detail.jsp?cid=globostat_programadora_ltda>
[Consultado 25-03-2013]
"La tasa de rentabilidad era mucho más atractiva con Veeam, " comentó
Mondragón. "Veeam representa un gran valor porque posee funcionalidades
integradas que lo hacen rápido, eficiente, fiable y fácil de usar."
Veeam está diseñado específicamente para la virtualización y unifica el backup y
la replicación en una única solución que proporciona recuperación rápida, flexible y
fiable de aplicaciones virtualizadas y datos en VMware vSphere y Microsoft Hyper-
V.
Mondragón afirmó que Veeam era más rápido que su herramienta de backup
anterior, lo que le permitía realizar backup de VMs con más frecuencia. Además es
más, lo cual es un alivio para Mondragón porque antes de que se implementara
Veeam, la mayoría de los backup’s de sus VMs no se completaban con éxito y
debían ejecutarse nuevamente. Los archivos de backup necesitan la mitad del
espacio de almacenamiento, gracias a la compresión y des duplicación integrada
de Veeam.
"La velocidad del backup es realmente importante, pero el beneficio real para
nosotros es una recuperación rápida," comentó Mondragón. "Restaurar una VM
solía llevarnos hasta ocho horas, pero ahora lo podemos hacer en una fracción de
ese tiempo. Y podemos restaurar archivos guest individuales sin restaurar toda la
VM."26

5. METODOLOGIA PROPUESTA

Para realizar la metodología se tiene en cuenta el ciclo de vida del proceso, el cual
consiste en gestionar procesos desde su creación hasta su finalización, Cada uno
de los cinco elementos básicos son:

• Estrategia del proceso: determina los tipos de procesos que deben ser
realizados
• Diseño del proceso: identifica los requisitos de proceso y elabora nuevos
procesos, así como cambios y mejoras en los ya existentes
• Transición del proceso: genera e implementa procesos nuevos o
modificados
• Operación del proceso: lleva a cabo las tareas operativas
• Mejora Continua del proceso: aprende de los éxitos y fracasos del pasado y
mejora continuamente la eficacia y eficiencia de los procesos.

5.1. Ciclo de vida del proceso

26 VEEAM® SOFTWARE. FGC toma un tren rápido hacia el Backup y Recuperación de VMs. 2013 [En
línea]. Disponible en web: <http://www.veeam.com/es/success-stories/fgc-toma-un-tren-rapido-hacia-
elbackup-y-recuperacion-de-vms.html>>[Consultado 25-03-2013]
 Estrategia del proceso:

P
Mejora
Ubicación de información
Continua

Diseño del proceso:

H Diseño de procesosde
backup’s, Diseño de
manuales
Mejora
Continua

V Transición del proceso:

Capacitación a usuarios Mejora

Continua

A
Operación del proceso:

Implementación de
Backup’s

Figura 5. Ciclo de vida del proceso. Fuente: Service Operation Itil V3

5.2. Estándar ISO/IEC 27002

En los estándares de seguridad de la información se encuentra la ISO/IEC

(International Organization for Standarization / International Electrotechnical
Commision).
En la serie 27000, se encuentra la norma ISO 27002, que muestra una guía de
buenas prácticas y lineamientos para el correcto manejo de la información. En el
apartado 10.5, se menciona las recomendaciones acerca de las copias de
seguridad. Por consiguiente el proyecto se contextualiza dentro de este marco de
referencia.

10.5 Respaldo o Back-Up

Objetivo: Mantener la integridad y disponibilidad de la información y los medios de

procesamiento de información.
Se debieran establecer los procedimientos de rutina para implementar la política
de respaldo acordada y la estrategia (ver también 14.1) para tomar copias de
respaldo de la data y practicar su restauración oportuna.
Control
Se debieran hacer copias de respaldo de la información y software y se debieran
probar regularmente en concordancia con la política de copias de respaldo
acordada.
Lineamiento de implementación
Se debiera proporcionar medios de respaldo adecuados para asegurar que toda la
información esencial y software se pueda recuperar después de un desastre o falla
de medios:
Se debieran considerar los siguientes ítems para el respaldo de la información: a)
se debiera definir el nivel necesario de respaldo de la información;
b) se debieran producir registros exactos y completos de las copias de respaldo
y procedimientos documentados de la restauración;
c) la extensión (por ejemplo, respaldo completo o diferencial) y la frecuencia de
los respaldos debiera reflejar los requerimientos comerciales de la organización,
los requerimientos de seguridad de la información involucrada, y el grado crítico de
la información para la operación continua de la organización;
d) las copias de respaldo se debieran almacenar en un lugar apartado, a la
distancia suficiente como para escapar de cualquier daño por un desastre en el
local principal;
e) a la información de respaldo se le debiera dar el nivel de protección física y
ambiental apropiado (ver cláusula 9) consistente con los estándares aplicados en
el local principal; los controles aplicados a los medios en el local principal se
debiera extender para cubrir la ubicación de la copia de respaldo;
f) los medios de respaldo se debieran probar regularmente para asegurar que
se puedan confiar en ellos para usarlos cuando sea necesaria en caso de
emergencia;
g) los procedimientos de restauración se debieran chequear y probar
regularmente para asegurar que sean efectivos y que pueden ser completados
dentro del tiempo asignado en los procedimientos operacionales para la
recuperación;
h) en situaciones cuando la confidencialidad es de importancia, las copias de
respaldo debieran ser protegidas por medios de una codificación.
Los procedimientos de respaldo para los sistemas individuales debieran ser
probados regularmente para asegurar que cumplan con los requerimientos de los
planes de continuidad del negocio (ver cláusula 14).
Para sistemas críticos, los procedimientos de respaldo debieran abarcar toda la
información, aplicaciones y data de todos los sistemas, necesarios para recuperar
el sistema completo en caso de un desastre.
Se debiera determinar el período de retención para la información comercial
esencial, y también cualquier requerimiento para que las copias de archivo se
mantengan permanentemente (ver 15.1.3).
Otra información
Los procedimientos de respaldo pueden ser automatizados para facilitar el proceso
de respaldo y restauración. Estas soluciones automatizadas debieran ser
probadas suficientemente antes de su implementación y también a intervalos
regulares.
Como se puede observar, la norma transcrita abarca todos los aspectos a tener en
cuenta al planificar una política correcta de copias de seguridad y se convierte en
la guía a seguir en el momento de afrontar dicha tarea. 27

5.3. Ciclo de seguridad

Por seguridad de la información que se maneja en la empresa de Contact Center,
se ha determinado, que solamente una persona es la responsable de realizar el
proceso de respaldo; por esta razón se hace necesario el tener un procedimiento
claro y documentado en el que se evidencie todos los aspectos a tener en cuenta
para obtener un proceso exitoso y confiable.29

Se sigue el modelo del ciclo de la seguridad de la información para identificar, las

amenazas, vulnerabilidades, activos, confidencialidad integridad y disponibilidad,
impacto en el negocio, medidas de seguridad, y riesgo.

Figura 6. Ciclo de seguridad de la información Fuente. Enciclopedia de la

seguridad informática

27 ISO/IEC. Tecnología de la Información – Técnicas de seguridad – Código para la práctica de la gestión de

la seguridad de la información. 17799 Segunda edición. [En línea]. 2005-06-15 [Consultado 1503-2013]
Disponible en web: < https://mmujica.files.wordpress.com/2007/07/iso-17799-2005-castellano.pdf> 29
Gómez Álvaro. Enciclopedia de la seguridad informática. Alfa y omega grupo editor. Primera edición.
México, 2007. 195 p. ISBN 978-970-15-1266-1
6. DESARROLLO DEL PROYECTO

6.1. Identificación de vulnerabilidades

Se realizó una encuesta a los ingenieros de la empresa de contact center quienes
son los responsables de la realización de backup’s, ellos se representan el 100%
de la población. Jorge David Guevara quien realiza los procesos de backup.
Andrés Felipe guerrero quien monitorea la realización de backup’s, allí se
evaluaron aspectos relacionados con el respaldo de información, restauraciones y
almacenamiento de información, con el fin de analizar las vulnerabilidades
presentadas en el proceso que actualmente la empresa realiza para el respaldo de
información. (Anexo 1. Encuesta para levantamiento de información en la actividad
de backup).
RESULTADOS OBTENIDOS:
Para detallar los resultados de la encuesta, a continuación se relacionan y se
analizan las preguntas que se consideraron más relevantes en el desarrollo del
proyecto y la identificación de vulnerabilidades.
Backup de información

Figura 7. Encuesta para levantamiento de información en la actividad de backup.

Pregunta 13. Fuente. El autor.
Figura 8. Encuesta para levantamiento de información en la actividad de backup.
Pregunta 14. Fuente. El autor.

Figura 9. Encuesta para levantamiento de información en la actividad de backup.

Pregunta 15. Fuente. El autor.
Figura 10. Encuesta para levantamiento de información en la actividad de backup.
Pregunta 18. Fuente. El autor.

Figura 11. Encuesta para levantamiento de información en la actividad de backup.

Pregunta 19. Fuente. El autor.
Figura 12. Encuesta para levantamiento de información en la actividad de backup.
Pregunta 20. Fuente. El autor.

Figura 13. Encuesta para levantamiento de información en la actividad de backup.

Pregunta 21. Fuente. El autor.
Figura 14. Encuesta para levantamiento de información en la actividad de backup.
Pregunta 23. Fuente. El autor.

Figura 15. Encuesta para levantamiento de información en la actividad de backup.

Pregunta 24. Fuente. El autor.
Figura 16. Encuesta para levantamiento de información en la actividad de backup.
Pregunta 25. Fuente. El autor.

Figura 17. Encuesta para levantamiento de información en la actividad de backup.

Pregunta 26. Fuente. El autor.
.
Figura 18. Encuesta para levantamiento de información en la actividad de backup.
Pregunta 28. Fuente. El autor.

Figura 19. Encuesta para levantamiento de información en la actividad de backup.

Pregunta 29, 30. Fuente. El autor.
Figura 20. Encuesta para levantamiento de información en la actividad de backup.
Pregunta 33. Fuente. El autor.

Figura 21. Encuesta para levantamiento de información en la actividad de backup.

Pregunta 47. Fuente. El autor.

6.2. Análisis de resultados

• Se puede evidenciar que el 100% de la población encuestada, afirma que

los usuarios solicitan backup de los datos periódicamente, lo que hace importante
la realización de respaldo de información de forma continua, proceso que no se
está realizando.
• En la encuesta se evidencia que la información sensible ya se encuentra
identificada, por lo que el proceso de respaldo de información y restauración de
información resultará confiable.
• En la encuestra se evidencia que los servidores donde reposa la información
ya se encuentran identificados, por lo que el proceso de respaldo de información y
restauración de información resultará eficiente.
• El proceso de respaldo y restauración de la información, actualmente no se
encuentra bien documentado, este aspecto es crítico para la continuidad de los
procesos y la gestión del conocimiento en la organización.
• Se evidencia que los procesos de respaldo y restauración no son constantes
debido a que se realizan algunas veces, así mismo los no son exitosos en el
momento de realizarse, esto genera que los usuarios no estén tranquilos pues al
momento de necesitar información de un backup no es posible encontrarla.
• Se evidencia claramente, que no existe un orden cronológico de realización
de backup, lo que genera una deficiencia en el proceso, ya que no se conoce con
exactitud qué tipo de backup se realizó, cuando se debe realizar el siguiente y que
tiempo de duración tiene el backup.
• En las cintas de respaldo que existen actualmente, no se evidencia
claramente el contenido ni se encuentran etiquetadas, esto es de gran impacto
para la organización, pues en el momento de necesitar la restauración de una cita,
llevará mucho tiempo encontrar la información.
• No se cuenta con la custodia interna adecuada de los datos respaldados,
debido a que se encuentra que los tapes son almacenados en un escritorio sin
algún tipo de seguridad dentro de la organización.

• Los respaldos de información no son almacenados fuera de la organización,

lo que representa un riesgo en el caso de que ocurra una catástrofe.
• Los backup’s no son encriptados al ser transportados fuera de la empresa,
por ello se genera una vulnerabilidad en la confidencialidad de la información.
• El hecho de que los usuarios conozcan la realización de backup local de sus
equipos es de gran importancia para el negocio, pues los usuarios seleccionaran
la información apropiada a respaldar.

6.3. Vulnerabilidades críticas

Marcado de cintas, respaldo periódico, proceso de restauración y
documentación de proceso
Teniendo en cuenta los tipos de amenazas y vulnerabilidades que explica el clico
de seguridad a continuación se relaciona detalladamente 4 aspectos críticos a
mejorar:
Respaldo periódico y restauración
Amenaza:
Natural:
Intencional:
Involuntaria: Se presenta debido al desconocimiento por parte de los usuarios de
realizar el proceso de respaldo y restauración de información de forma periódica y
continua, así mismo generando malos procedimientos de realización de backup.
Vulnerabilidad:
Física: N/A
Natural: Por factores externos, (humedad, polvo, agentes contaminantes,
desastres naturales, entre otros)
Medios de almacenaje: N/A.
Comunicación: N/A
Humanas: La información podría ser borrada por algún usuario o un intruso con
acceso a las carpetas y sin un respaldo periódico sería difícil recuperar la
información.
Hardware: Debido a que las copias de seguridad no son constantes, se presenta
una vulnerabilidad de hardware ya que los discos duros que contiene la
información de la empresa podrían tener una avería de tipo eléctrico o por
defectos de fabricación, que puede ser irrecuperable y se expondrían la
disponibilidad e integridad de los datos.
Software: Como no se realiza un respaldo continuo, a nivel de software podría
haber una corrupción de datos si se filtra código malicioso en la organización, esto
afectaría la integridad de los datos y se podría perder la información.
Activos expuestos:
Se expone la Información que se maneja en la organización, se podría perder la
confidencialidad y la disponibilidad.
Impacto en el negocio:
El hecho de no realizar un backup y restauración generaría una pérdida de dinero,
tiempo y recursos por que la información no estaría disponible al ser solicitada.
Medida de seguridad:
Preventiva: Debe verificar la ubicación y la información a respaldar, los horarios en
que se puede realizar respaldos y restauraciones, los tipos de backup a realizar
según el movimiento de información.
Correctiva: Se debe realizar respaldos y restauraciones de información
periódicamente y continuamente, y controlarlas mediante un cronograma de
actividades de backup.
Disminución de riesgos:
Se disminuirá la posibilidad de pérdida de información de los servidores, aumenta
la disponibilidad de la información y la integridad.

Documentación de proceso
Amenaza:
Natural: N/A
Intencional: N/A
Involuntaria: Se presenta debido al desconocimiento por parte de los usuarios de
realizar el proceso de respaldo y restauración de información, no se sigue un
procedimiento claro de ejecución por no estar documentado.
Vulnerabilidad:
Física: N/A
Natural: Por factores externos, (humedad, polvo, agentes contaminantes,
desastres naturales, entre otros)
Medios de almacenaje: N/A.
Comunicación: N/A
Humanas: Las personas que realizan el proceso al no tener los procedimientos
claros y documentados no realizan el proceso como debería realizarse.
Hardware: N/A.
Software: Como no se realiza un proceso correcto y documentado, en el momento
de realizar un backup podría quedar incorrecto con el software que se realiza esto
afectaría la integridad de los datos y se podría perder la información.
Activos expuestos:
Se expone la pérdida del backup que se realiza al no estar documentado el
proceso, pues si no se realiza de una manera adecuada, podría estar expuesta la
confidencialidad y la disponibilidad de la información al momento de necesitar una
restauración.
Impacto en el negocio:
El no tener los procesos documentados no hay un control adecuado del manejo de
backup, y restauraciones, la información no estaría disponible al ser solicitada.
Medida de seguridad:
Preventiva: Debe evaluar que procesos no se encuentran documentados, realizar
manuales de usuario.
Correctiva: Se debe realizar la documentación de respaldos y restauraciones de
información.
Disminución de riesgos:
Se disminuirá la posibilidad de fallar en la realización de backup y restauración de
información.

Etiquetado de citas de respaldo

Amenaza:
Involuntaria: La información no se conoce pues no se lleva un formato y un
inventario de cintas.
Vulnerabilidad:
Natural: Por factores externos, (humedad, polvo, agentes contaminantes,
desastres naturales, entre otros)
Humanas: La información podría ser necesitada y no está disponible por
desconocimiento de su contenido.
Hardware: No hay actualizaciones de la información contenida en las citas.
Física: N/A
Natural: por factores externos (humedad, polvo, agentes contaminantes, desastres
naturales, entre otros)
Humanas: La información podría ser la que no se necesita al momento de una
restauración debido incorrecto etiquetado.
Activos expuestos:
Se expone la Información que se maneja en la organización, se podría perder la
disponibilidad de la misma, debido a la difícil identificación de los datos que hay en
cada cinta.
Impacto en el negocio:
Perdida de dinero, tiempo y recursos por que la información no estaría disponible.
Medida de seguridad:
Diseñar un etiquetado eficiente de citas de respaldo.
Disminución de riesgos:
Se aumentaría la posibilidad de encontrar la información correcta al momento de
necesitarla.

6.4. Recomendaciones para solucionar las vulnerabilidades

Teniendo en cuenta el análisis realizado, se evidencia la necesidad de realizar un
adecuado respaldo de información para los servidores, debido a los cambios y
crecimiento constante de la información manejada en la empresa de Contact
Center BPO; por esta razón es necesario realizar los siguientes tipos de backup
(completo, diferencial e incremental).
Por seguridad de la información, se ha determinado por política empresarial, que
solamente una persona es la responsable de realizar el proceso de respaldo, por
esta razón se hace necesario tener un procedimiento claro y documentado en el
que se evidencie todos los aspectos a tener en cuenta, para obtener un proceso
exitoso y confiable.
Es importante realizar un seguimiento, con el fin de determinar el rendimiento de
los servidores, para verificar los horarios más adecuados para la realización de
backup.
Ya que la organización sigue los lineamientos de las ISO 27000, es importante
tener un control de los usuarios con permisos para realizar los backup y
monitorear a los administradores del sistema.
Todas las copias de seguridad que se manejen en medios magneticos deben ser
encriptadas antes de ser enviadas al exterior de la organización, esto garantiza la
confidencialidad de la informacion.
Se deben generar formatos que permitan evidenciar los detalles del respaldo de
información y entrega a los usuarios.

6.5. Proceso para realización de backup’s

A continuación se desarrolla el proceso que se implementa en la empresa de
contact center este proceso fue desarrollado durante el proyecto y es avalado por
el departamento de tecnología de la organización (Ver anexo 9. Proceso para la
realización de backup).

6.5.1. Seleccionar perfil de personal que realiza el backup

Según las características del perfil de cargo que se maneja en la empresa de
contact center, se selecciona la persona con conocimientos en sistemas
operativos, máquinas virtuales, respaldo y restauración de información, quien tiene
el cargo de ingeniero de infraestructura, esta selección la realiza el gerente de
tecnología.
6.5.2. Identificar información sensible y servidores donde reposa
Basándose en la información confidencial, que suministra el departamento de
seguridad de la información se realiza una reunión interna se informa que ya se
encuentra identificada la información sensible de la organización, para realización
de backup de los diferentes servidores de la empresa. Para identificar la
información sensible y servidores donde esta almacenada, se tienen en cuenta los
siguientes puntos que se realizaron en un estudio previo: confidencial, privada,
pública, criterios, activos de información disponibles, identificación de activos de
información, concientización, campaña de divulgación para la clasificación,
divulgación al responsable de la información, clasificación y rotulado de la
información, en aplicaciones y sistemas de información, en medios de
almacenamiento magnético externos, en medios impresos, en correos
electrónicos, directrices sobre retención, destrucción y controles, retención,
destrucción, controles.

6.5.3. Analizar capacidad y rendimiento de servidores

Capacidad de almacenamiento en servidores
Se toma una muestra del volumen de información manejado mes a mes en la
empresa de contact center. Por seguridad se la información y confidencialidad de
los datos, el nombre y el número de los servidores no se mencionan.
Tabla 4. Tamaño de almacenamiento en disco de servidores septiembre
2012febrero 2013. Fuente. El autor.
Capacidad en servidores Septiembre 2012 – Febrero 2013 en gigabytes
Tipos de Septiembr Nombiembr Diciembr
No
servidores e Octubre e e Enero Febrero
Series
1 Archivos 253 354 402,41 554,5 549,4 520
Series
2 Dominio 136 137 136 136 137 137
Series
3 Antivirus 44 55 43,8 126 104,9 104,5
 Series Aplicacione
4 s 330 403 323,48 376,48 361,4 361,35
Series
5 Correo 240 253 324,4 324 324,1 324
Fax NA NA NA NA NA NA
Series
6 Impresión 87 82 81 81 81 81
Series
7 Web 51 20 11 16 25 25
Series Base de
8 datos 362 364 363,3 386,3 427,5 435

Figura 22. Capacidad en servidores Septiembre 2012 – Febrero 2013 Empresa de

contact center BPO. Fuente. El autor.

Como se evidencia en la figura 18, la información de los servidores de archivos

tienen una tendencia a aumentar su tamaño en disco ya que todas las campañas
almacenan los datos en estos, entre diciembre 2012 y enero del 2013 se presenta
un descenso de tamaño debido al cierre de diferentes campañas de la empresa de
contact center, y se elimina la información que ya no se necesita siguientes los
debidos procedimientos de seguridad de la información. Para los servidores de
dominio se presenta un tamaño constante durante los 6 meses. Para el servidor de
antivirus tiene un tamaño constate y de noviembre a diciembre hay una variación
debido a las nuevas actualizaciones de software y políticas internas del negocio.

6.5.4. Hora de realización de backup's

Con el fin de determinar los horarios en el que se pueden realizar los respaldos de
información en los diferentes servidores, se realiza una muestra a 10 servidores de
la empresa en contact center, para evidenciar el rendimiento y procesamiento de
los mismos y el tráfico en red, iniciando el proceso a las 8:00 AM y terminando a
las 6:00 PM. Se identifica que en la muestra de servidores que todos tienen la
misma tendencia, y datos semejantes.
Se presenta uno de los diez servidores a los cuales se les hizo el levantamiento de
información en las diferentes horas del día, por políticas de seguridad de la
información que maneja la empresa de contact center, se documenta un servidor
en el cual solo se muestra los procesos que lleva a cabo y se realiza el estudio con
este.(Ver anexo 10)
En la tabla 2, se puede apreciar que en el curso de la operación normal de la
organización (8 AM a 6 PM) no se pueden realizar los backup de cada servidor,
debido a un alto tráfico de servicios de red y consumo de procesamiento a nivel de
memoria y CPU. En el lapso de tiempo evaluado, se presenta un constante
consumo de recursos. Por lo anterior se verifica y se establece con el ingeniero de
infraestructura, los horarios óptimos para la realización de backup’s:
Tabla 5. Horario en que se puede realizar los backup. Fuente. El autor.
HORARIO EN QUE SE PUEDE
REALIZAR LOS BACKUP
Archivos 10 PM - 6 AM
Dominio 10 PM - 6 AM
Antivirus 10 PM - 6 AM
Aplicaciones 10 PM - 6 AM
Correo 10 PM - 6 AM
Fax 10 PM - 6 AM
Impresión 10 PM - 6 AM
Telefonía 10 PM - 6 AM
Proxy 10 PM - 6 AM
Web 10 PM - 6 AM
Base de datos 10 PM - 6 AM
Reserva 10 PM - 6 AM
Seguridad 10 PM - 6 AM
Pruebas 10 PM - 6 AM
6.5.5. Definición de software o herramienta de realización de backup’s, para
determinar los tipos de backup’s y realización de pruebas.

6.5.5.1. Software utilizado en realización de backup's

Se realiza un prueba con Ntbackup el cual solo fue autorizado para la el estudio
por motivos de seguridad de la información y protección derechos de autor, para la
evaluación se ejecutó en cada servidor de la empresa. Por ello se verifica y se
establece con el ingeniero de infraestructura los tiempos que se demora cada
programa y los inconvenientes que se tuvieron en cada proceso, se documentan a
continuación.
Tabla 6. Ntbackup total. Fuente. El autor.
Ntbackup total
DURACION DE REALIZACION DE BACKUP EN HORAS Y NOMBRE DEL
SOFTWARE
Servidor 0 H -1 1 H- 2 2H–3 3H–4
Hora H H H H 4H–5H 5H–6H
Archivos x
Dominio X
Antivirus X
Aplicaciones X
Correo X
Impresión X
Web X
Base de datos X

Observaciones
Servidores de archivos: Ntbackup realiza la copia total exitosa después de seis
horas debido al tamaño de la información a respaldar. Resto de servidores: El
backup funciona correctamente Tabla 7. Ntbackup diferencial. Fuente. El autor.
Ntbackup diferencial
DURACION DE REALIZACION DE BACKUP EN HORAS Y NOMBRE DEL
SOFTWARE
Servidor 0 H -1 1 H- 2 2H–3 3H–4
Hora H H H H 4H–5H 5H–6H
Archivos X
Dominio X
Antivirus X
Aplicaciones X
Correo X
Impresión X
Web X
Base de datos X

Observaciones
Servidores de archivos: Se realiza teniendo una copia total como base para crear
un backup diferencial evidenciando la finalización del proceso en 4 Horas.
Resto de servidores: El backup funciona correctamente, pero el tamaño aumenta
considerablemente.
Tabla 8. Ntbackup incremental. Fuente. El autor.
Ntbackup incremental
DURACION DE REALIZACION DE BACKUP EN HORAS Y NOMBRE DEL
SOFTWARE
Servidor 0 H -1 1 H- 2 2H–3 3H–4
Hora H H H H 4H–5H 5H–6H
Archivos X
Dominio X
Antivirus X
Aplicaciones X
Correo X
Impresión X
Web X
Base de datos X

Observaciones
Servidores de archivos: Se realiza teniendo una copia total como base para crear
un backup incremental.
Resto de servidores: El backup funciona correctamente, y se evidencia que el
tamaño del backup es adecuado para el tamaño del disco donde se almacena y
tiene tiempos menores en la ejecución.
Resultados
Según los resultados obtenidos de las muestras se define con los ingenieros de
infraestructura que la frecuencia y tipo de backup adecuado para realización del
proceso con Ntbackup es el siguiente:

Tabla 9. Frecuencia de realización de respaldo de información Fuente. El autor.

Frecuencia de realización de respaldo de información
Servidor
Sábado Domingo Lunes Martes Miércoles Jueves Viernes
Archivos
completo x
Diferencial
Incremental x x x x x
Dominio
completo x
Diferencial
Incremental
Antivirus
completo x
Diferencial
Incremental x x
Aplicaciones
completo x
Diferencial
Incremental x x x
Correo
completo x
Diferencial
Incremental
Impresión
completo x
Diferencial
Incremental
Web
 completo x
Diferencial
Incremental

6.5.6. Desarrollo de cronograma de realización de backup y restauración

Para el desarrollo del cronograma se hizo una reunión con los ingenieros de
infraestructura y el gerente de tecnología y se definió por decisión conjunta la
realización del cronograma de backup’s en la que se detalla que el control de
backup’s se llevara semestralmente, se anexa al final del documento (ver anexo 3,
Cronograma de realización de backup primer semestre - 2013)

6.5.7. Realización de backup.

Para la realización del backup se utiliza la herramienta Ntbackup de Windows con
la que se realiza el proceso y se crean los archivos con la extensión bnf se detalla
la realización de backup en un manual de usuario el cual se entrega a la empresa
de contact center (Ver anexo 4. Manual para la realización de backup con
Ntbackup), el procedimiento para descargar la información y realizar el backup en
DVD también se encuentra documentado (Ver anexo 5, Procedimiento para
descarga y respaldo de información en DVD).

6.5.8. Realización de restauración

Para la realización de la restauración se utiliza la herramienta Ntbackup de
Windows con la que se realiza el proceso y se cargan los archivos con la
extensión bnf se detalla la realización de la restauración en un manual de usuario
el cual se entrega a la empresa de contact center (Ver anexo 6. Manual para
restauración de una copia de seguridad con Ntbackup).

6.5.9. Elección de medio de respaldo, realización de backup y exteriorizar

datos.
Se determina con los ingenieros de infraestructura que es opcional la utilización de
medios como: DVD, cintas, discos duros unidades de red, para replicar la
información que se maneja actualmente. Es importante evaluar a futuro la
posibilidad de exteriorizar los backup’s, para proteger la continuidad del negocio
en la eventualidad de una catástrofe, (ISO 27002) por ello se aconseja enviar el
backup a otra sede de la organización y determinar el medio en que se envían,
esta tarea la asumen los ingenieros de infraestructura y queda pendiente para
estudio y aprobación por parte de la gerencia de tecnología.

6.5.10. Etiquetado de medios de respaldo

Se realiza una revisión y se utiliza uno de los formatos que propone Álvaro Gómez
en el libro Diccionario de seguridad de la información para el etiquetado correcto
de citas:
Tabla 10. Registro de copias de seguridad. Fuente. Enciclopedia de la seguridad
informática.
Registro de copias de seguridad

Tipo de copia Completa Incremental Diferencial

Tipo de soporte

Etiqueta Fecha de Fecha de Contenido de la

Copia datos copia

Lugar de almacenamiento

Responsable de
almacenamiento
Fecha y firma

6.5.11. Documentación de procesos

Se realiza durante toda la práctica empresarial la documentación de los procesos
de respaldo y restauración de información, con las herramientas brindadas por la
empresa de contact center, se crean los diferentes manuales de usuarios,
formatos de control y cronogramas de actividades que se evidencian en los
anexos (Anexo 3. Cronograma de realización de backup primer semestre – 2013)
y tablas del documento. También se crean diferentes formatos para el control de
backup’s (Anexo 7. Formato para entrega backup de grabaciones. Anexo 8.
Registro y control de realización de backup en medio magnético)

6.5.12. Entregar información restaurada al solicitante

Esta tarea se realiza en el caso de una restauración a petición de los usuarios que
necesitan recuperar algún tipo de datos que hayan perdido o borrado, se realiza la
restauración y se entrega al usuario.

6.5.13. Recomendaciones
Se recomienda evaluar la posibilidad de ubicar los backup de información en un
lugar externo de la organización, para evitar futuros inconvenientes en el que
pueda estar involucrada la información de la empresa, comprometer la continuidad
del negocio y la disponibilidad de la información.
Si se decide ubicar los backup de información en un lugar externo, se recomienda
encriptar los datos, debido a que es importante para la organización que la
información sea confidencial y que solo el personal autorizado por la misma pueda
acceder a su contenido.
Es importante hacer pruebas periódicas para certificar que los backup y
restauraciones se realicen correctamente.
En caso de detectar oportunamente algún tipo de código malicioso se recomienda
detener los procesos de backup y cuando se tenga mitigada la amenaza continuar
con el proceso para evitar la propagación del código malicioso.

7. CONCLUSIONES

Debido a la encuesta realizada, se determina que para el objetivo número uno los
resultados son satisfactorios, se logra identificar las vulnerabilidades mediante el
ciclo de seguridad de la información, presentadas en el proceso de backup de
información, evidenciando que no hay continuidad y periodicidad en los procesos
de respaldo y restauración de información, se encuentra que no se tiene
controlados los procesos de respaldo ni se encuentran establecidos en
cronogramas de actividades, no se tiene un etiquetado óptimo en los medios de
almacenamiento de backup, también se destaca que no hay documentación de los
procesos.
En el objetivo número dos se evalúa a partir del análisis del resultados del primer
objetivo el proceso por el cual se realiza backup de la información generando un
proceso de realización de backup e identificando las diferentes tareas a tener en
cuenta para generar una buena práctica en la empresa de contact center
siguiendo los lineamientos que plantea la norma ISO 27002 y las
recomendaciones que plante ITIL en el service operation V3, se mide el
crecimiento de información mensual en los servidores de la empresa, para
determinar el tipo de backup a implementar, se realiza el monitoreo del
rendimiento de cada uno de ellos para determinar las horas apropiadas para
realizar los backup’s de información. A partir de la información obtenida se define
el backup a realizar, la hora y los días en que se va a ejecutar, se realizan pruebas
de backup’s y restauraciones y se genera el cronograma de backup para los
servidores y se empieza a ejecutar el backup y las restauraciones como se estable
en el cronograma y se documenta el proceso. Quedando el proceso de realización
de respaldo de información completo y aprobado por los ingenieros de la empresa
de contact center.
La dificultades que se presentaron, fueron con respecto a seguridad de la
información pues debido a las políticas internas de la empresa la información
expuesta en el documento debe ser es general, no se especifican los procesos
internos de la organización, también los permisos para acceder a los diferentes
servidores para realizar el estudio fueron limitados y contabilizados por tiempo,
para la obtención de permisos se debieron seguir diferentes procesos demorados
y los avances del documento se tuvieron que realizar por fuera de la empresa
debido a que por seguridad de la información no se permite mover información por
correo o medios magnéticos
Para finalizar se documentan todos los procesos generando manuales de usuario
en Windows, los cuales son: Manual de respaldo de información con ntbackup,
manual de restauración de información con ntbackup, manual de respaldo de
grabaciones en medios magnéticos (DVD), Formato para la entrega de
grabaciones, tabla para el etiquetado de backup’s, cronograma para realización de
backup’s.
8. BIBLIOGRAFIA

AMAZON WEB SERVICES. Amazon Simple Storage Service (Amazon S3). 2013.
[En línea]. Disponible en web: < http://aws.amazon.com/es/s3>[Consultado 25-
032013]

BACKUP4ALL. full backup. 2011. [En lineal]. Disponible en web:

<,http://www.backup4all.com/kb/full-backup-116.html>[Consultado 15-03-2013]

BACKUP4ALL. Incremental backup. 2011. [En lineal]. Disponible en web:

<http://www.backup4all.com/kb/incremental-backup-118.html>[Consultado 15-
032013]

BACKUP4ALL. differential backup. 2011. [En lineal]. Disponible en web:

<http://www.backup4all.com/kb/differential-backup-117.html>[Consultado 15-
032013]

BERMEO AUCAY, Freddy Rafael. Análisis De La Seguridad Física Del Servidor Y

Backup De Base De Datos, En La Cooperativa Jardín Azuayo. Director: Ing. Marco
Litúma. Cooperativa jardín azuayo. Cuenca – Ecuador. 2011

BOCHNER, S. (2958). John von Neumann, 1903 - 1957. [En línea]. A biographical
memoir. [washington d.c.] Copyright 1958[Consultado 15-03-2013] Disponible en
web: <http://books.nap.edu/html/biomems/jvonneumann.pdf>

DUPLICA INTERNET SOLUTIOS. ¿Qué son los servidores web y por qué son
necesarios? [En línea]. Disponible en web: <http://www.duplika.com/blog/que-
sonlos-servidores-web-y-por-que-son-necesarios > [Consultado 15-03-2013]
GOMEZ Álvaro. Enciclopedia de la seguridad informática. Alfa y omega grupo
editor. Primera edición. México, 2007. 195 p. ISBN 978-970-15-1266-1

IBM. Infraestructura de la información. [En línea]. Disponible en web:

<http://www-
03.ibm.com/systems/es/information_infrastructure/solutions/information_availability
/>[Consultado 15-03-2013]

IRON MOUNTAIN. Las cinco mejores prácticas para proteger tus copias de
seguridad. 2010. [En línea]. Disponible en web:
<http://www.ironmountain.es/~/media/6EB67A91A9D04324830A64AB2B3BD98A.
pdf> [Consultado 15-03-2013]

ISO/IEC. Tecnología de la Información – Técnicas de seguridad – Código para la

práctica de la gestión de la seguridad de la información. 17799 Segunda edición.
[En línea]. 2005-06-15 [Consultado 15-03-2013] Disponible en
web:< https://mmujica.files.wordpress.com/2007/07/iso-17799-2005-
castellano.pdf>

LAUDON Y LAUDON. Sistemas de Información Gerencial. Nicolás H. Kosciuk.

2006. [En línea]. Disponible en web: <
http://ellibrolibre.com.ar/descargas/laudon.pdf >[Consultado 19-03-2013]

MICROSOFT CORPORATION. Proteja su PC [en línea]. Disponible en web:

<http://www.microsoft.com/spain/seguridad/content/pc/servidoresfaq.aspx>
[Consultado 15-03-2013]

NTP-ISO/IEC Tecnología de la Información – Técnicas de seguridad – Sistemas

de gestión de seguridad de la información 27001. Primera edición. [En línea].
2008-12-12 [Consultado 15-03-2013] Disponible en web:
http://bvirtual.indecopi.gob.pe/normas/isoiec27001.pdf

ROJAS Elisabeth. Las Empresas No Pueden Sobrevivir Sin Backup. 2011. Mcpro
Muycomputerpro. [En línea]. Disponible en web:
<http://www.ironmountain.es/~/media/6EB67A91A9D04324830A64AB2B3BD98A.
pdf> [Consultado 19-03-2013]

SERVICIOS INFORMÁTICOS. Servidor de archivos y dominio [En línea].

Disponible en web: <http://www.serinformaticos.es/?file=kop404.php> [Consultado
15-03-2013]

SIBBALD Kern. Bacula. What is Bacula? 2013. [En línea]. Disponible en web:
<http://www.bacula.org/5.0.x-manuals/en/main/main/What_is_Bacula.html>
[Consultado 19-03-2013]

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN. TÜV SÜD

 Iberia, S.L.U. España. 2012. C/Frederic Mompou 8 p [En línea]. ] [Consultado 15-
03-2013] Disponible en web: <http://www.tuv-
sud.es/uploads/images/1350635458019372390409/pdf2-0039-iso-iec-27001-
es260412.pdf >

SYMANTEC CORPORATION. Symantec Backup Exec. 2013 [En línea]. Disponible

en web: <http://www.symantec.com/es/mx/backup-exec>[Consultado 19-03-2013]

SYMANTEC CORPORATION. Symantec Backup Exec. 2013 [En línea].

Disponible en web:
<https://www.symantec.com/es/mx/resources/customer_success/detail.jsp?cid=glo
bostat_programadora_ltda>[Consultado 25-03-2013]
VEEAM® SOFTWARE. FGC toma un tren rápido hacia el Backup y Recuperación
de VMs. 2013 [en linea]. Disponible en web:
<http://www.veeam.com/es/successstories/fgc-toma-un-tren-rapido-hacia-el-
backup-y-recuperacion-devms.html>>[Consultado 25-03-2013]