Continuando con el post anterior sobre el tema de seguridad de la información. he aquí la segunda parte.

Primera parte: Ver


Las amenazas que pueden presentarse a un sistema de información son las siguientes:
§  Desastres naturales:
o   Incendios accidentales: Un incendio es una ocurrencia de fuego no controlada que puede abrasar algo que no está destinado a quemarse. Puede afectar a estructuras y a seres vivos.
  
o   Humedad: una mala ventilación, un clima húmedo y una suma de malas costumbres pueden transformar nuestro hogar en un sitio insano para vivir.
o   Inundaciones: es la ocupación por parte del agua de zonas que habitualmente están libres de ésta, bien por desbordamiento de ríos y ramblas por lluvias torrenciales o deshielo, o mares por subida de las mareas por encima del nivel habitual o por avalanchas causadas por maremotos.
§  Acciones hostiles deliberadas como:
o   Robo: es un delito contra el patrimonio, consistente en el apoderamiento de bienes ajenos, con intención de lucrarse.
o   Fraude: es una manera muy antigua de conseguir beneficios mediante la utilización de la inteligencia, viveza y creatividad del ser humano, es considerado como un delito.
o   Sabotaje: es una acción deliberada dirigida a debilitar a un enemigo mediante la subversión, la obstrucción, la interrupción o la destrucción de material.
§  Amenazas ocasionadas involuntariamente por personas.

·         Áreas Seguras
El objetivo de un área segura es evitar el acceso físico no autorizado, el daño o la interferencia a las instalaciones y a la información de la organización. En este caso, los servicios de procesamiento de información (sensible o crítica) deben ubicarse en áreas seguras, protegidas por perímetros de seguridad definidos, con barreras de seguridad y controles de entrada adecuados.
 Nota: La protección suministrada debería estar acorde con los riesgos identificados.
o   Perímetro de seguridad: Un perímetro de seguridad es algo delimitado por una barrera. Por ejemplo puede ser una muralla,        una puerta con acceso mediante tarjeta, una oficina de recepción, una persona, etc.
o   Lineamientos: se le conoce al conjunto de normas, mecanismos y acciones que tienen como fin proteger a una organización y a su patrimonio ante cualquier riesgo, ya sea de tipo natural o causado por el hombre. Suele ser de obligatorio para los integrantes de dicha organización.
o   Controles: Las áreas seguras deberían estar protegidas con controles de acceso apropiados para asegurar que sólo se permite el acceso a personal autorizado.
·         Seguridad de los equipos y medio ambiente
El objetivo de este reducir los riesgos ocasionados por amenazas y peligros ambientales, y oportunidades de acceso no autorizado. Los equipos usualmente deben estar protegidos contra amenazas físicas y ambientales.
La protección de los equipos (incluyendo los utilizados por fuera) es necesario para reducir el riesgo de acceso no autorizado a la información y para proteger contra pérdida o daño. Además se considera la ubicación y la eliminación de los equipos. Es posible que se requieran controles especiales para la protección contra amenazas físicas y para salvaguardar los servicios de soporte tales como energía eléctrica e Infraestructura de cableado.
Ante la amenaza de un desastre o después de que ya ha ocurrido lo único que nos puede salvar es la forma en que nos prevenimos antes de que ocurriera. Es por eso que es vital tener un Plan de Recuperación ante Desastres (DRP – Disaster Recovery Plan).
 Con esto se puede entender que un plan de recuperación ante desastres es un proceso de recuperación que cubre los datos, el hardware y el software crítico, para que un negocio pueda comenzar de nuevo sus operaciones en caso de un desastre natural o causado por humanos.
Es importante definir los procedimientos y planes de acción para el caso de una posible falla, siniestro o desastre en el área Informática, considerando como tal todas las áreas de los usuarios que procesan información por medio de la computadora.
 Cuando ocurra una contingencia, es esencial que se conozca al detalle el motivo que la originó y el daño producido, lo que permitirá recuperar en el menor tiempo posible el proceso perdido.
 La elaboración de los procedimientos que se determinen como adecuados para un caso de emergencia, deben ser planeados y probados fehacientemente. Los procedimientos deberán ser de ejecución obligatoria y bajo la responsabilidad de los encargados de la realización de los mismos, debiendo haber procesos de verificación de su cumplimiento. En estos procedimientos estará involucrado todo el personal de la Institución.
 Los procedimientos de planes de recuperación de desastres deben de emanar de la máxima autoridad Institucional, para garantizar su difusión y estricto cumplimiento.
 Un Plan de Recuperación ante Desastres deberá contemplar siempre la peor de las situaciones, ya que de este modo, la contingencia podrá ser solventada en el menor tiempo posible. Con esto asegurara la continuidad del negocio, en siglas BCP (Business Continuity Planning).
 Las actividades a realizar en un Plan de Recuperación de Desastres se pueden realizar una serie de actividades, las cuales son:
 ·         Actividades previas al desastre: para poder realizar un mejor análisis del riesgo y tratar de proteger el funcionamiento continuo de los equipos se debe pensar tanto el hardware como el software, para ello algunas actividades pueden ser:
o   Hardware
§  Contar con una unidad de energía de respaldo para que en caso de sufrir un corte de energía no se dañen los componentes del equipo y la información que contiene este.
§  Mantener el equipo en un lugar adecuado considerando las especificaciones técnicas del ambiente óptimo de operación en cuanto a temperatura, humedad, etc.
§  Tener redundancia en los componentes, es decir, tener en almacén dispositivos para usar en caso de emergencia. Estos deben cumplir ciertas características del equipo en uso por la organización.
o   Software
§  Discos duros en espejo, el cual tendrá una copia idéntica del software actual en operación para que en caso que se dañe un disco duro se pueda utilizar el otro de forma inmediata.
§  Respaldos de archivos lo cuales tiene la opción de realizarse sobre el sistema completo de archivos o únicamente de los datos sensibles.
§  Respaldos de archivos en dispositivos externos, siguen los parámetros anteriores y podrán ser en cintas magnéticas, DVD’s, CD’s, discos duros externos, etc.
·         Actividades durante el desastre: la recuperación es más controlada si se llevó a cabo un buen plan de respaldos. Para lograr esto es recomendable tener un programa de respaldos automático.  Los respaldos se pueden hacer:
o   Al sistema operativo
o   A los programa y/o aplicaciones
o   A los datos
·         Actividades después del desastre: lo primero que se debe hacer es un análisis del resultado del daño lo cual nos llevará a considerar los pasos de recuperación. Es posible que se dañe únicamente el software, el hardware o en el peor de los casos, ambos. Luego se pueden realizar las siguientes actividades:
o   Recuperación del hardware: se aplican las acciones previstas antes de que ocurriera el desastre, que puede ir desde el reemplazo de una pieza (unidades de almacenamiento, memoria, procesador, etc.)
o   Recuperación del software: se tiene que acceder a los respaldos que se hayan almacenado con anterioridad y recuperar el sistema, programas, datos, etc., de acuerdo al grado de daño ocurrido.

0 comentarios: