10 claves para una adecuada recuperación ante desastres


En la gestión de la seguridad hay un capítulo de especial importancia. Este capítulo es el que habla de recuperación ante desastres, un concepto que tiene que ir asociado de una manera biyectiva a otro concepto de igual interés en el gobierno de la seguridad. La continuidad de los negocios.





Estos parámetros toman cada vez más cuerpo. Recientemente hemos visto
cómo se ha propuesto un modelo de normativa ISO cuya denominación será
ISO/IEC 27006 "Guidelines for information and communications technology
disaster recovery services", específicamente orientada a la continuidad
y a la recuperación, proporcionando guías específicas para los servicios
de recuperación ante desastres, bien sean propios o externos. Esto no
hace más que refrendar la teoría de que los modelos de gestión están
cada vez más orientados a la seguridad de la información, como único
mecanismo garante de que los procesos que reposan en las tecnologías
de la información posean el tratamiento óptimo, en aras del beneficio
conjunto de todo el mapa de procesos de la organización. Se prevé que
ISO/IEC 27006 aparezca en torno a noviembre de 2007, y por lo que se
puede ver en el borrador, se percibe una fuerte impregnación de la norma
SS507 - Singapore Standards for Business Continuity/Disaster Recovery
(BC/DR) Service Providers.

En Hispasec hemos hablado anteriormente sobre planes de recuperación y
continuidad. No vamos a extendernos más en las definiciones teóricas que
ya propusimos en nuestros boletines números 2278 y 2540, enlazados al
pie. El objetivo de este boletín es incidir en medidas prácticas
asociadas a los conceptos de recuperación y continuidad. Para ello hemos
preparado un decálogo de acciones que pueden ayudarle a plantear el
problema de una manera más cómoda y accesible. Son sólo algunas acciones
básicas, que deben siempre complementarse con un plan específico
diseñado y gestionado por expertos para cada caso, y están basadas en
los artículos propuestos en el capítulo de "más información"

1.- Probar las copias de seguridad. Por obvio que resulte, las copias
sólo tienen utilidad cuando pueden ser restauradas. Es recomendable que
las organizaciones dediquen al menos un equipo a modo de "sandbox" o
caja de arena de pruebas específicas de verificación de copias de
respaldo, y que eventualmente, con una periodicidad programada, se
verifiquen estas copias.

2. Escoja su software de backup con criterio. Elegir un sistema de copia
y restauración puede requerir la intervención de un experto, sobre todo
en entornos heterogéneos. Piense en la disponibilidad y en los tiempos
cortos de recuperación como un activo rentable y extremadamente
interesante. No tenga miedo a invertir en estos conceptos, bien sea en
licencias, bien sea en servicios o en ambos.

3. Con una periodicidad adecuada, por ejemplo, semanalmente, desplace
las copias de seguridad a sitios externos a la organización, de modo que
prevenga así incidentes localizados, como robos, incendios,
inundaciones, etc. Dentro de la organización opte por armarios ignífugos
para la conservación como medida mínima de protección de las copias.
Dejarlas en lo alto del servidor o de una mesa no es la elección más
adecuada en ninguno de los casos

4. Una medida interesante para prevenir la indisponibilidad y la gran
mayoría de los problemas puede ser el aislamiento de las máquinas.
Disponer de cuartos específicos bajo llave donde ubicar los sistemas
reduce mucho el riesgo de daños accidentales o intencionados. Las
máquinas deben estar preferentemente en entornos climatizados y
controlados, y a ser posible, en armarios tipo rack o equivalentes
homologados, con un grado de protección adecuado en lo relativo a
incendios, humedades y otros parámetros de catástrofe similares.

5. Escoger la ubicación de la sala de máquinas puede ser tan sencillo
como contemplar que no haya en las cercanías redes de fontanería ni
desagüe, y que las tomas eléctricas existentes sean seguras y cercanas a
la acometida, por si fuera necesario ampliar o sustituir el
abastecimiento. Otro factor de interés, siempre que sea posible, es la
proximidad a los sistemas contraincendios. La proximidad a sistemas de
evacuación de emergencia, climatización y ventilación son también
interesantes para ubicar la sala de máquinas. Procure por último que la
sala sea fácilmente accesible por métodos de transporte, como
carretillas y elevadores, y que el/los montacargas, en caso de altura,
no estén lejos

6. A la hora de mesurar potenciales riesgos, no escatime ninguno. Por
desgracia en su oficina puede pasar de todo. Puede incendiarse,
inundarse o puede ser forzada por vándalos. Evite pensar que incidentes
como los acontecidos en el edificio Windsor o los sufridos por multitud
de ISPs en Nueva Orleans (véase el caso Directnic) con el huracán
Katrina son imposibles en su ubicación. Cualquier daño que pueda
imaginar por cualquier causa imaginable es una fuente de riesgo ante la
recuperación. Obviamente, corresponde al gestor de seguridad balancear
probabilidades y asignar pesos y probabilidades. Es obvio que el impacto
de un avión en un edificio de oficinas no es igual de probable (por
fortuna) que la rotura de una cañería, ni tampoco es probable que si
ubica un ISP en un lugar con fuerte desertización acabe con problemas de
humedades, pero de entrada no descarte absolutamente nada.

7. Comunique las acciones a tomar para todos los posibles incidentes. No
sirve de nada tener los planes guardados en un cajón, y no sirve de nada
un plan que no sea conocido por todos los estamentos implicados. La
recuperación ante incidentes es un trabajo en equipo y es absolutamente
necesario que todos los elementos de la cadena estén perfectamente
documentados sobre las tareas a realizar en cada caso.

8. La recuperación requiere obligatoriamente que el personal implicado
en todas y cada una de las fases conozca todas las metodologías y
tecnologías disponibles para tales efectos. Es un campo donde la
formación continua de los asalariados es una garantía de éxito. Muchas
veces el material de estudio de este tipo de sistemas está en lengua
foránea. Debe tenerse la mínima formación por parte de todos para
comprender estos términos foráneos, en lengua inglesa principalmente,
por ejemplo, para interpretar correctamente referencias en un memorando
o email sobre BC/DR para hacer alusión al Business Continuity/Disaster
Recovery (Continuidad del negocio/Recuperación ante el desastre)

9. Si sus recursos se lo permiten, ejecute de vez en cuando simulacros.
Los simulacros que aportan información útil son aquellos en los que no
se avisa, y donde es factible obtener información sobre el proceso de
recuperación. Tirar del cable de un servidor en producción puede ser una
prueba muy directa para verificar si la rueda de recuperación está bien
engrasada.

10. Tome todos los datos anteriores, y elabore una posible secuencia
temporal. Pongamos un ejemplo: Si se rompe una tubería y se moja un
servidor, puede que la placa madre se queme. Tanto si se quema como si
aparentemente no hay daños, hay que avisar a cierta persona, cuyo
teléfono de urgencia es A, cuya responsabilidad es el mantenimiento de
las máquinas. En caso de quemado, se debe localizar en el almacén una
placa equivalente, cuyo modelo es B. Si no hay placas en el almacén,
debemos llamar al proveedor C, el cual está informado de nuestro
inventario, para proceder a su pronta adquisición. Es preciso igualmente
avisar al servicio de mantenimiento del edificio, localizables 24 horas
en el teléfono D y dar parte de la avería. Por último, el equipo E
levantará el equipo que ha quedado inutilizado y hará las verificaciones
oportunas que certifiquen que la recuperación es un éxito. La incidencia
la catalogaremos completa y la almacenaremos en nuestro catálogo de
incidencias, para reutilizaciones futuras. Con todos estos datos, el
gestor de seguridad analizará lo sucedido y buscará maneras de optimizar
el procedimiento de recuperación, informando igualmente de las
responsabilidades que deriven del incidente a la alta dirección.

Una vez haya unido todas las posibles fuentes de problemas y sus
soluciones, habrá elaborado un plan de recuperación. Priorice las partes
del negocio sujetas a potencial indisponibilidad o ruptura para
ordenarlas en importancia, ya que debe recuperarse primero lo que más
rentable o vital sea para la organización. Esto es lo que hace
indispensable que el plan emane de la alta dirección, porque es la alta
dirección la que sabe qué es más necesario para mantener la continuidad
y qué componentes del esquema tienen más peso en la rentabilidad global
de la empresa. La alta dirección es la única cualificada para establecer
este tipo de prioridades, con lo que estos planes deben surgir de los
altos estratos para ser diseminados posteriormente por la organización,
al igual que se hace con cualquier sistema de gestión.

Un plan de recuperación es, a fin de cuentas, un instrumento para
ofrecer respuestas metódicas, congruentes y frías en situaciones
anárquicas, incongruentes y muy calientes, situaciones en las que a
veces la prioridad es salvar la vida y preocuparse después de qué ha
pasado con los racks, los monitores y los ordenadores. El ser humano,
humano es, y si tenemos la mala fortuna de estar envueltos en humo, o si
tenemos que salir de la oficina con el agua por las rodillas a causa de
una inundación, lo menos probable es que estemos al 100% para poder
tomar las decisiones adecuadas para la salvaguarda de la continuidad.

Para eso está el plan de recuperación.

Más información:

Seis consejos básicos para recuperarse frente a contingencias
http://seguridad-de-la-informacion.blogspot.com/2006/04/seis-consejos-bsicos-para-recuperarse.html

Top six steps toward disaster recovery
http://www.computerworld.com/securitytopics/security/recovery/story/0,10801,110604,00.html

Planes de recuperación ante desastres
http://www.hispasec.com/unaaldia/2540

Planes de contingencia y continuidad
http://www.hispasec.com/unaaldia/2278

Fuente:
Sergio Hernando
hispasec.com



Otras noticias de interés:

Nueva actualización de seguridad de Java de Noviembre de 2009
Se ha publicado una actualización de Java -versión 6 actualización 17, conocida como 6u17-....
Microsoft prepara Content Management Server 2002
La compañía venderá la nueva solución a finales de año, añadiendo un soporte último para la gestión de contenidos XML y servicios Web. ...
Si son gratis, bienvenidos sean los virus
Un anuncio publicado por un blogger, que prometía infectar los ordenadores de los usuarios, recibe cientos de visitas. Los bloggers son quizá los usuarios más activos de la Red, una parte importante de los internautas que interactúan, suben conte...
Twitter nos advierte, hay que cambiar de contraseñas
El servicio de microblogging más popular del mundo está comenzando a verse afectado por problemas de phishing, y eso ha hecho que Twitter obligue a ciertos usuarios a cambiar sus contraseñas....
Manual uso seguro y responsable de las tecnologías de la información y la comunicación (TIC)
Los contenidos presentes en la segunda edición de este Manual por un uso seguro y responsable de las tecnologías de la información y la comunicación (TIC) publicado por chicos.net....
Historia del "bug" informático
El término bug ha sido asociado a interferencias y malfuncionamiento desde mucho tiempo antes de que existieran los ordenadores modernos, siendo Thomas Edison uno de los primeros en acuñar este significado. Si bien fue una mujer, Grace Murray Ho...
Cómo mitigar los riesgos en la seguridad de los datos al hacer outsourcing global
Aunque la externalización de servicios es una excelente forma de ahorrar costes, conviene tener en cuenta algunas premisas para mantener la integridad de los datos que se comparten. ...
Google es el peor parcheador, según IBM X-Force
El informe 2010 sobre riesgos y tendencias que IBM X-Force publica a mediados de año señala a Google como una de las peores compañías a la hora de publicar parches de seguridad....
Filipinas aprueba ley que elimina la libertad de expresión en la red
Aunque las famosas regulaciones SOPA o PIPA propuestas por Estados Unidos el año pasado hayan pasado a mejor vida, existen otros intentos en el mundo de leyes que chocan frontalmente con el uso diario de la red. Una de ellas, quizá la más exagerad...
Vulnerabilidad en drivers USB de Microsoft Windows
Una vulnerabilidad del tipo desbordamiento de búfer, afecta los drivers USB en todas las versiones de Microsoft Windows. El problema se debe a que dichos drivers no comprueban apropiadamente los límites de una entrada proporcionada por un disposit...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • adecuada
  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • claves
  • computer
  • debian
  • desastres
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • recuperacion
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra