NORMATIVA
1) Todo sistema deberá contar con la documentación de
los procedimientos de resguardo y recuperación antes de entrar en
producción. La misma será controlada por el área responsable de
la Seguridad Informática para verificar que es clara, completa y contempla como
mínimo la recuperación de los siguientes elementos:
a) El reemplazo
de los servidores críticos.
b) El sistema
operativo y su configuración (parámetros, file systems, particiones, usuarios y
grupos, etc.).
c) Los utilitarios y paquetes de software de base necesarios para que la
aplicación se ejecute.
d) Los programas
que componen la aplicación.
e) Los archivos
y/o bases de datos del sistema.
f) Horario de ejecución de la copia de resguardo.
No se pondrá en producción ningún sistema que no cumpla este
requerimiento.
2) Todas las copias de resguardo deberán estar
claramente identificadas, con etiquetas que indiquen como mínimo
a) Equipo al que pertenecen
b) Fecha y hora de ejecución
c) Frecuencia: anual, mensual, semanal, diaria
d) Número de secuencia o lote
e) Tipo de Backus
f) Nombre del sistema o aplicativo y otros datos necesarios
para su fácil reconocimiento.
3) Se llevará un registro diario de las cintas en uso indicando al menos,
a) Fecha de
ejecución del resguardo.
b) Qué cintas
integran el Backus de los equipos.
c) Cantidad de veces que se usó la cinta.
d) Lugares
asignados para su guarda.
El área responsable de Seguridad Informática revisará periódicamente que
se cumpla con este registro en tiempo y forma.
4) Todos los
procedimientos de respaldo deberán generar un log en el equipo que permita la
revisión del resultado de la ejecución, y dentro de lo posible, se realizarán
con la opción de verificación de integridad (lectura posterior a la escritura.)
5) Los sitios donde se almacenen las copias de
resguardo deberán ser físicamente seguros, con los controles físicos y
ambientales según normas estándares; los soportes ópticos o magnéticos deben
guardarse dentro de un armario o caja de seguridad ignífugo.
6) Se
generarán en lo posible DOS (2) copias de resguardo, guardando una de ellas en un edificio diferente al
del ámbito de procesamiento, en un lugar que cumpla con los requerimientos
mencionados en el punto 5) y a distancia tal que la ocurrencia de cualquier
contingencia en uno no afecte al otro. En caso de tener solo una copia esta
debe ser llevada fuera del ámbito de procesamiento de la forma anteriormente
mencionada.
El traslado de las cintas debe ser realizado por
personal debidamente autorizado, utilizando los accesos habilitados para
movimiento de insumos.
7) Se realizarán copias de resguardo del sistema
completo de acuerdo a lo indicado en la frecuencia asignada a cada aplicación o
sistema, previendo la conservación de estos Backus por el período de tiempo
también estipulado previamente conforme a la criticidad de la información.
8) En el caso
de utilizar Backus incrementales se deberá tener en cuenta lo siguiente:
a) Se
documentará la identificación de secuencia de los Backus incrementales.
b) Deberán
existir controles para prevenir la carga de cintas en una secuencia equivocada.
c) Se realizará un Backus del sistema completo cada SIETE (7) días
corridos.
9) Se
efectuarán pruebas de recuperación de las copias de resguardo al menos una vez
cada TREINTA (30) días corridos. Estas pruebas servirán para constatar que se
puedan obtener correctamente los datos grabados en la cinta al momento de ser
necesarios, de forma de garantizar su propósito.
Las pruebas se
deberán formalizar en un acta escrita y firmada por el responsable del sector
técnico y el encargado de realizar la recuperación.
Eventualmente el
área responsable de la Seguridad Informática presenciará las pruebas y firmará
el acta.
10) Los servidores críticos deberán contar con Raides de discos, a los
efectos de que la información sensible no se vea afectada por potenciales
desperfectos en los discos.
11) Para el caso de aplicaciones críticas se implementarán
técnicas de replicación automática, por hardware o software, de forma tal que
si el equipo/base de datos principal deje de funcionar el equipo/base de datos
espejo tome el control inmediatamente.
12) Los períodos
de retención de la información histórica son los
siguientes:
Fuentes y base de datos: perpetuo
Lotes de TRANSAF: perpetuo.
Actividades de los usuarios y pistas de auditoría: TRES (3) años.
13) El resguardo de la información histórica se realizará
utilizando soportes ópticos de referencia no reutilizables (CD, etc.).
14) Los
procedimientos de generación y grabación de estos archivos serán automáticos, a
fin de evitar su modificación.
10.4 respaldos de información
RESPALDO DE INFORMACION
Respaldo de Información.
1. El uso y aprovechamiento del Servidor de Respaldo será destinado
únicamente para apoyar las funciones que son propias de la Procuraduría
Agraria.
2. Queda estrictamente prohibido almacenar, en las carpetas asignadas en el
Servidor Institucional de Respaldos, archivos de juegos, música, reproductores
de música y/o video, programas de cómputo sin licencia y cualquier otra
información ajena a la Institución.
3. Invariablemente, el
Enlace, debe de registrar los respaldos de información efectuados en el formato
de Control de Respaldos, con base al instructivo de llenado previamente
definido y proporcionado por la Dirección de Informática.
4. El Enlace debe archivar
los formatos de Control de Respaldos en una carpeta especial para tales
efectos, conforme a los lineamientos definidos por la Dirección de Informática.
5. En caso de requerir
una copia de seguridad de la información resguardada en la Bóveda de Seguridad,
cada unidad administrativa deberá proporcionar a la Dirección de Informática
una cinta magnética HP DDS-2 C5707A de 8 GB.
6. Es responsabilidad de
cada una de las unidades administrativas de Oficinas Centrales requerir a la
Dirección de Recursos Materiales y Servicios el suministro de las cintas
magnéticas HP DDS-2 C5707A de 8 GB.
7. Invariablemente la
información a respaldar debe estar compactada y debidamente identificada; así
mismo, deberá ser registrada en el Control de Respaldos, de acuerdo a lo
establecido por la Dirección de Informática.
Del Calendario de Respaldos.
1. La Dirección de
Informática elaborará y proporcionará el calendario para la generación del
respaldo de los datos contenidos en el Servidor de Respaldo, el cual remitirá a
las unidades administrativas para su conocimiento.
2. La Dirección de
Informática realizará el respaldo de toda la información contenida en el
Servidor Institucional de Respaldo de acuerdo al Calendario de Respaldos, a
efecto de disponer de una copia de seguridad de la información Institucional de
las unidades administrativas de Oficinas Centrales y trasladarla a la Bóveda de
Seguridad externa.
Del Servidor Institucional.
1. El respaldo de la
información contenido en el Servidor Institucional de Respaldo se efectuará a
partir de las 16:00 horas, del día especificado en el Calendario previamente
definido, por lo anterior, se suspenderá el servicio a los Enlaces para no
alterar el proceso de copia de seguridad, una vez terminado, la Dirección de
Informática notificará mediante el servicio de Correo Electrónico a los Enlaces
y pueden utilizar el Servidor.
2. Cada unidad
administrativa de Oficinas Centrales dispondrá de un espacio de 5 GB para
almacenar la información.
3. El Servidor
Institucional de Respaldo estará en servicio las 24 horas del día, excepto de
los días establecidos en el Calendario de Respaldos, con la finalidad de que el
Enlace realice el respaldo de la información generada en su unidad
administrativa de adscripción.
4. La Dirección de
Informática elaborará los “usuarios” en el Servidor Institucional de Respaldo,
los cuales serán inamovibles
10.5 confidencialidad de la información
Niveles de seguridad
|
|
Seguridad es un concepto asociado a la certeza,
falta de riesgo o contingencia. Conviene aclarar que no siendo posible la
certeza absoluta, el elemento de riesgo esta siempre presente, independiente
de las medidas que tomemos, por lo que debemos hablar de niveles de seguridad. La seguridad absoluta no es posible y en adelante
entenderemos que la seguridad informática es un conjunto de técnicas
encaminadas a obtener altos niveles de seguridad en los sistemas informáticos. Además, la
seguridad informática precisa de un nivel organizativo, por lo que diremos
que:
|
|
|
|
Lo importante es proteger la información
|
|
Si bien es cierto que todos los componentes de un
sistema informático están expuestos a un ataque (hardware, software y datos)
son los datos y la información los sujetos principales de protección de las
técnicas de seguridad. La seguridad informática se dedica principalmente a
proteger la confidencialidad, la integridad y disponibilidad de la información.
|
|
Confidencialidad
|
|
La confidencialidad se refiere a que la
información solo puede ser conocida por individuos autorizados. Existen
infinidad de posibles ataques contra la privacidad, especialmente en la
comunicación de los datos. La transmisión a través de un medio presenta múltiples
oportunidades para ser interceptada y copiada: las líneas
"pinchadas" la intercepción o recepción electromagnética no
autorizada o la simple intrusión directa en los equipos donde la información
está físicamente almacenada.
|
|
Integridad
|
|
La integridad se refiere a la seguridad de que
una información no ha sido alterada, borrada, reordenada, copiada, etc., bien
durante el proceso de transmisión o en su propio equipo de origen. Es un
riesgo común que el atacante al no poder descifrar un paquete de información
y, sabiendo que es importante, simplemente lo intercepte y lo borre.
|
|
Disponibilidad
|
|
La disponibilidad de la información se refiere a
la seguridad que la información pueda ser recuperada en el momento que se
necesite, esto es, evitar su pérdida o bloqueo, bien sea por ataque doloso,
mala operación accidental o situaciones fortuitas o de fuerza mayor.
|
|
Otros problemas comunes
|
|
Otros problemas importantes de seguridad son la autentificación,
es decir la prevención de suplantaciones, que se garantice que quien firma un
mensaje es realmente quien dice ser; el no repudio, o sea que alguien niegue haber enviado una
determinada información (que efectivamente envió) y los controles de acceso,
esto es quien tiene autorización y quien no para acceder a una parte de la
información.
Finalmente se tiene el problema de la verificación de la propiedad de la
información, es decir que una vez que se ha detectado un
fraude determinar la procedencia de la información.
|
No hay comentarios:
Publicar un comentario