PROCESO: SEGURIDAD INFORMATICA REVISION: 01 PROCEDIMIENTO: POLÍTICAS DE ADMINISTRACIÓN DE BACKUPS

Transcripción

1 1. OBJETIVO Establecer las normas y procedimientos que garanticen la ejecución y control de las copias de seguridad de los datos procesados a través de los sistemas de información. 2. ALCANCE Estas normas aplican para todo el sistema de gestión de Seguridad Informática 3. DEFINICIONES El proceso de respaldo o backup consiste en ejecutar copia de la información almacenada en disco a otro medio de almacenamiento, ya sea cinta, disco óptico o disco duro alterno. 4. NORMAS 4.1 Clasificación de los Backups: A. Backup de todo el Sistema: 1 Debe permitir la recuperación ante un daño total de la información o para los casos en que los otros tipos de Backup hallan fallado, se realizará mensualmente y será responsabilidad del Jefe de Centro de Computo o Administrador del sistema. 2 El backup de todo el sistema debe hacerse antes del cierre y con una periodicidad mensual. Este backup requiere de dos copias, una de las cuales debe ser custodiada en forma externa. B. Backup de Software Base: 1 Debe permitir recuperar la información de los diferentes Productos de Software Base instalados tal como: Sistema Operativo, Software de Oracle, Compiladores etc. Para asegurar la eficacia de éste tipo de Backup, se debe realizar además cada que se instale un nuevo producto o cada que se actualice versión. 2 Es responsabilidad del Jefe del Centro de Cómputo o Administrador del Sistema programar un backups antes y otro después de cualquier nueva instalación. C. Backup de Aplicaciones: El Software de Aplicaciones debe ser respaldado de acuerdo a los siguientes criterios: 1 En ambiente de Desarrollo dada la continuidad con que se crean y modifican programas, los backups deben realizarse diariamente.

2 2 En ambiente de Producción, se deben asegurar backups diarios de la última versión en Producción y de versiones anteriores. 3 Será responsabilidad del Jefe de Desarrollo coordinar con el Jefe del Centro de Cómputo, Administrador del Sistema y Administrador de Base de Datos, los cambios drásticos en versiones y configuraciones de las aplicaciones en producción para realizar los diferentes backups antes y después del cambio. D. Backup de Datos: El backup de Datos debe obedecer a los criterios descritos a continuación: 1. De acuerdo a la operatividad de las Aplicaciones y a la criticidad de ciertos procesos de cierta información, se deben programar backups según especificaciones dadas por los jefes de proyectos o los administradores de bases de datos. Por ejemplo: Backups antes y después de Procesos Nocturnos, backup anterior al cierre, backup posterior al cierre. 2. Programar backups que permitan el respaldo de toda la base de datos ante el evento de una falla en el sistema. 3. Programar backups que permitan respaldar tablas de referencias. E. Backup de Configuraciones: 1. Se deben respaldar todo tipo de configuración que normalmente se pierden cuando se realizan reinstalaciones de software o recreaciones de Base de Datos. 2. Los Backups deben incluir archivos de configuración de: Usuarios, Impresoras, Terminales, dispositivos, parámetros del sistema, configuración a nivel de discos, parámetros de Base de Datos, etc. 3. Los backups de configuraciones deben realizarse semanalmente. F. Backup de usuarios con PC 1. Los usuarios son responsables de la información que resida en el PC asignado y el será el encargado de mantener copia de sus archivos más sensibles. 4.2 Frecuencia de los backups Backup diario Backup semanal Backup mensual.

3 4.2.4 Backup ESPECIAL (DIARIO TyJ): Para el equipo AS400 SISTEMAS, aplicación Taylor&Jhonson. Se realiza diariamente y se respalda por tres meses Backup SAVLIB TOTAL DEL SISTEMA. Para los equipos AS400 SALUD, CONTANAL, SISTEMAS y DESARROLLO. Se realiza la tercera semana de cada mes y se custodia permanente Backup CALL CENTER. Este backup es automático y propio de la aplicación ( ver manual técnico de la aplicación CONTACT CENTER ) 4.3 ADMINISTRACIÓN DE LOS MEDIOS MAGNÉTICOS DE RESPALDO La administración, seguimiento y custodia de los procesos de backups y medios magnéticos está a cargo de la Dirección Nacional de Sistemas o cargo del área designado por éste, de tal manera que se garantice la confiabilidad y seguridad de estos procesos y de la información proveniente de cada Unidad de Negocio La programación, la periodicidad y los ciclos de los Backups son responsabilidad del Administrador del Sistema y del Administrador de la Base de Datos La ejecución de los backups es absolutamente una tarea del operador La labor de colocar las cintas y registro correspondiente es responsabilidad de los operadores El operador debe registrar adecuadamente la información en el sistema y en el rótulo de la cinta y posteriormente almacenarla en la Cintoteca Para resguardar la información de las cintas, el operador debe aplicar la cinta de limpieza mensualmente en los dispositivos para hacer backup Cuando se detecte error de lectura en la cinta, se debe destruir y catalogar con una nueva, para las cintas diarias y semanales La restauración de bases de datos, librerías, programas y procedimientos, es responsabilidad del jefe del centro de computo o el administrador del Sistema El proceso de Backup para las oficinas, validación de la ejecución, manejo de almacenamiento y el registro de la bitácora de backup lo realiza el asistente de la oficina correspondiente y en las regionales el coordinador de Sistemas o la persona que él designe Cualquier anomalía o inconveniente generado en el proceso de backup debe ser notificado al Jefe de Soporte Técnico Nacional.

4 Se deben establecer parámetros para monitoreo de volúmenes y tiempos de las operaciones de backups. 4.4 GENERACIÓN DE BACKUPS CATALOGACION DE CINTAS Nomenclatura: Las cintas se deben identificar siguiendo la siguiente nomenclatura : Consecutivo : Número único secuencial de acuerdo a la Plataforma, Tipo de Almacenamiento y Ambiente Frecuencia : Periodicidad con que se realizó el backup Cod_Frecuen A D E F M S SO WN WS Descripción Anual Diaria EnFrio_Full Full Mensual Semanal Solarix Windows NT/95/98/00 Windows-Select Fecha_Backup : Día, mes, año en que se realizó el backup Cada cinta posee su correspondiente Label. Cada Label contiene la siguiente información : Etiqueta : Corresponde a : Frecuencia- Plataforma-Equipo-Ambiente-Año-Mes No. de Copias: Número de cintas requeridas para el backup en formato: # de # Ubicación : Ubicación física de la cinta, corresponde a : Gabinete: Número del gabinete donde se encuentra físicamente la cinta. Fila: Número de la fila donde se encuentra físicamente la cinta. Posición: Posición secuencial en la fila donde se encuentra físicamente la cinta Consecutivo: Cuatro dígitos: Diarios: indicando los seis Backups de la semana (rotativo) Semanal: indicando las cuatro semanas del mes (rotativo)

5 Mensual: AAMM Indicando el año y el mes (permanente) Full Backup: Una vez al mes (Datos, Sistema operativo y Aplicaciones) permanente. En Frío: Diario antes de iniciar los procesos nocturnos Con el fin de un buen manejo y control de los respaldos las cintas de almacenamiento de información se deben rotular tanto el label de la cinta como el del estuche de la cinta LOCALIZACION FISICA DE LAS COPIAS DE RESPALDO EN LA Cintoteca Características físicas de la Cintoteca: Temperatura de archivo entre 23 ºC y 5 ºC, Ambiente sin Humedad. Ambiente libre de polvo Con el propósito de ordenar y facilitar la búsqueda de la información, se establecieron 2 formas de ubicación: A. Consecutivo único. B. Identificación de colores. A. CONSECUTIVO ÚNICO Cada unidad de cinta, DLT, DataCartridge, Mini Datacartridge, IBM Tape MP 3570, diskette, CD ó Caja esta identifica con un número único consecutivo al igual que su estuche de acuerdo a la plataforma, ambiente y tipo de almacenamiento al cual pertenece. Aparte de esta identificación única; cada unidad de almacenamiento posee un label con su respectiva ubicación y etiqueta construida a partir de su Frecuencia Plataforma Equipo Ambiente Año si es un backup ó a partir de la Frecuencia Plataforma Ambiente Versión si es software BITACORAS DE CONTROL Los procesos ejecutados a través del centro de computo se registran periódicamente en bitácoras de control, indicando las actividades realizadas y las novedades que se presenten CONTROL DE LA CINTOTECA

6 La administración de la Cintoteca se realiza con apoyo de un sistema de información desarrollado en Microsoft-Access para llevar el control e inventarios de los medios magnéticos de respaldo (ver descripción técnica en el manual del Centro de Computo) El acceso a la Cintoteca es exclusivo para el Jefe del Centro de Cómputo y los operadores. Se debe contar con un riguroso control de acceso a la Cintoteca mediante el carné del empleado y/o llaves En la Cintoteca se almacenan todas las cintas de backups y las cintas de software aplicativo de las diferentes plataformas. El archivador de las cintas debe constar de varios cuerpos (folderamas) para identificarlos por plataforma, aplicativo y año. La forma de archivo de las cintas es en forma cronológica, ubicando las cintas de mayor tiempo de atrás hacia delante y de arriba hacia abajo en cada archivador, de tal manera que las cintas de mayor rotación (diarias, semanal y mensual) queden de fácil acceso Se cuenta con un respaldo externo para almacenamiento de las copias de las cintas para recobrarse de un desastre que genere daños en la Cintoteca Mantener activo el sistema integral contra incendio (alarmas, censores, extintores, refrigeración), con el fin de proteger la información de las cintas El Jefe del Centro de Computo debe llevar el registro de utilización de las cintas. Además debe procurar el borrado, destrucción y desecho de las cintas que cumplan con su ciclo de vida útil CUSTODIA EXTERNA Una copia de las copias de las cintas se custodiará a través de una entidad o proveedor externo especializada en almacenamiento de los medios magnéticos de respaldo, la cual garantice la conservación de la información, la seguridad, la confidencialidad y el fácil acceso a las cintas en el momento que las personas autorizadas de Coomeva lo requieran. 4.5 RECUPERACIÓN DE BACKUPS Toda restauración de backup solicitada debe estar autorizada por el Jefe Inmediato, de lo contrario no se hará la restauración Toda restauración de backup solicitada se hará de acuerdo a los siguientes parámetros: Para restauración de Backup Diario 4 hr como mínimo para su restauración Para restauración de Backup Semanales 6 hr

7 Para restauración de Backup Mensuales 10 hr Para restauración de Backup mayores a 5 años 3 días Para restauración de Backup Mayores a 10 años 15 días Toda restauración de backup debe ser realizada por escrito mediante un requerimiento del ECASE Se harán pruebas de restauración de backup mensualmente De acuerdo a los diferentes tipos de información que se encuentra almacenada en los equipos centrales y servidores, se deben programar backups que aseguren el cumplimiento de los siguientes puntos: Permitir restaurar la información del backup que se requiera Si el backup requerido falla por alguna circunstancia, se pueda recuperar del penúltimo, del antepenúltimo o de cualquier backup hacia atrás según sea el caso La información es el recurso más valioso que tiene cualquier compañía, por eso es importante que todos en general seamos conscientes de mantener respaldo de nuestra información corporativa. Los siguientes son los parámetros a tener en cuenta, para que el procedimiento de respaldo sea verdaderamente efectivo: - Cada cuánto tiempo se respalda. - Qué se respalda. - Qué se hace antes / después del respaldo. - Cómo se respalda. - Quién es el responsable. - Cómo y cada cuánto se realizan simulaciones de restauración (pruebas de fiabilidad del respaldo) Los tipos de respaldo que se tendrán en cuenta, serán los siguientes: - Respaldo completo: se respaldan todos los datos, sin discriminación alguna. - Respaldo incremental: se hace el respaldo de todos los archivos modificados, desde él último respaldo. - Respaldo diferencial: se hace el respaldo de todos los archivos, en tiempos diferentes y conservándolos. - Respaldo personalizado: solo respalda los archivos que se especifiquen Nota: de acuerdo a las necesidades de cada sistema, se debe seleccionar el tipo de respaldo a utilizar.

8 Los programas de respaldo deben planificarse, según las necesidades del Supervisor, el número de usuarios de la red, la frecuencia de modificación de los archivos, etc. Puede realizarse diferentes tipos de respaldo, de acuerdo a diferentes programas: - Diario: se respalda todos los archivos modificados durante el día, después de la finalización de la jornada. - Semanal: se realiza un respaldo incremental/diferencial, después de finalizar la última jornada de la semana, durante tres de las cuatro semanas del mes. - Mensual: se realiza un respaldo completo en la última jornada, de la semana restante del mes. Procesos especiales: se hace un respaldo completo, cada vez que se cambie la configuración, se actualice el servidor con una nueva versión, se modifiquen aplicaciones o se hagan grandes cambios en la compañía. 5. DOCUMENTOS UTILIZADOS 5.1 Bitácora de control 5.2 Formato de envío de remesas al proveedor 5.3 Bitácora de backups 5.4 Restauración de Backups