Plan de Contingencias e Integridad de Datos e Información Portal Web Archivo Pedagógico de Colombia

Transcripción

1 Plan de Contingencias e Integridad de Datos e Información Portal Web Archivo Pedagógico de Colombia Elaborado por: Equipo de trabajo Archivo Pedagógico de Colombia Bogotá D.C., Diciembre de 2014 Versión 1.0

2 1 Contenido Página Introducción 2 Capítulo 1: Fases del Plan de Contingencia e Integridad de datos e información del portal de Archivo Pedagógico de Colombia 3 FASE 1: PLANIFICACION 3 FASE 2: IDENTIFICACION DE RIESGOS 6 FASE 3: INTEGRIDAD DE DATOS E INFORMACIÓN 7 Capítulo 2: Definiciones, Conceptos y Alcances 8

3 2 Introducción En concordancia con la visión actual de lo que implica la gestión institucional, especialmente, en lo relacionado con la gestión de los sistemas de información de la Universidad Pedagógica Nacional, en el contexto de desarrollo del portal web del Archivo Pedagógico de Colombia se han puesto en marcha una serie de procesos, estrategias y desarrollos los cuales están encaminados a consolidar un plan de contingencias como de integridad de los datos e información, el cual facilite y oriente la obtención de soluciones alternativas, que permitan restituir de la forma más rápida posible la prestación de los servicios que ofrece la institución a través del mencionado sitio web, ante la eventualidad de todo aquello que pueda paralizarlo de forma parcial o total. El plan de contingencia e integridad de datos de Archivo Pedagógico de Colombia, permitirá a la universidad apoyar los momentos críticos para que la aplicación tecnológica continúe funcionando. Sin embargo, se aclara que como la aplicación se encuentra bajo el control y la administración directa de la Subdirección de Gestión de Sistemas de Información, es esta dependencia quien deberá definir, igualmente, los criterios y las condiciones técnicas que se requieren para dar continuidad permanente a la prestación de los servicios que ofrece la aplicación tecnológica mencionada. Así, por ejemplo, en los momentos en que por cuestiones de caídas de fluido eléctrico, problemas con los servidores u otras fallas técnicas propias de la universidad, el equipo de desarrollo de Archivo Pedagógico no cuenta más que con la posibilidad de solicitar a esta dependencia el apoyo respectivo, para que se normalice el funcionamiento del portal web. En este sentido, el plan de contingencia e integridad de datos e información, que se describe a continuación, se constituye en elemento de apoyo a todas las actividades de soporte y de sostenimiento tecnológico de parte de la Subdirección de Gestión de Sistemas de Información de la Universidad Pedagógica Nacional, ya que como se ha mencionado el alcance del equipo de desarrollo de Archivo Pedagógico de Colombia es limitado, a partir del modelo de gestión de sistemas de información con que cuenta la universidad.

4 3 Capítulo 1: Fases del Plan de Contingencia e Integridad de datos e información del portal de Archivo Pedagógico de Colombia El plan de contingencia e integridad de datos e información del portal web de Archivo Pedagógico de Colombia, se resume en las siguientes fases: Planificación: preparación y aprobación de esfuerzos. Identificación de riesgos: funciones y flujos del proceso en la institución. Integridad de datos e información: almacenamiento, copias de seguridad y respaldo. FASE 1: PLANIFICACION 1.1 Diagnóstico Cada vez que nos encontramos en una actividad que requiere el diseño de una propuesta de solución para un determinado problema, recurrimos a una revisión exhaustiva de cada uno de los componentes que conforman nuestro sistema, aplicación tecnológica y base de datos. Por ello, antes de notificar alguna anomalía en estos frentes a la Subdirección de Gestión de Sistemas de Información, realizamos en Archivo Pedagógico de Colombia una etapa diagnóstica para poder determinar la manera en que nuestro equipo puede dar solución a los inconvenientes, asimismo para determinar el alcance del mismo y con ello evitar saturar a la institución con constantes peticiones de apoyo técnico. En un evento de este tipo, el equipo de Archivo Pedagógico de Colombia analiza el grado de dependencia que se tiene con la Subdirección de Gestión de Sistemas de Información en cuanto al funcionamiento de las conexiones de la red como al servidor de producción dedicado, para el desempeño de la aplicación tecnológica, entre otros. Conviene resaltar, que uno de los servicios más críticos que ofrece la universidad, se relaciona con la sostenibilidad del funcionamiento de sus aplicaciones web, lo cual se refleja en que no existe garantía total de la prestación de los servicios del portal de Archivo Pedagógico de Colombia todos los días del año las 24 horas de cada día. Por esta razón, en el equipo de Archivo Pedagógico se está en constante revisión del sistema asimismo en contacto directo con la Subdirección de Gestión de Sistemas para se brinde solución a problemas de red interna de la universidad, como de parte del proveedor de la interconexión a internet. Estos aspectos indudablemente afectan el adecuado funcionamiento de la aplicación web como el acceso a servidores de producción como de pruebas que han sido designados por esta dependencia.

5 Planificación En la fase de Planificación se tienen en cuenta los siguientes eventos: Evento previo: Se identifican procesos críticos que corresponden al área de Subdirección de Gestión de Información como del área de desarrollo de Archivo Pedagógico de Colombia, cuyo punto clave es el mantenimiento y garantía en la operación de los servicios del portal web de Archivo Pedagógico de Colombia, como se describe a continuación: Monitoreo Comunicaciones: A cargo de la Subdirección de Gestión de Sistemas de Información el cual se da periódicamente con el proveedor del servicio garantizando y solucionando de manera oportuna los enlaces con los puntos de recepción de usuarios finales, asimismo en caso de ocurrir alguna caída del servicio, el área encargada de dicho monitoreo es la mencionada dependencia. Monitoreo Servidores: Realizado inicialmente con un test que hace el equipo desarrollador de Archivo Pedagógico de Colombia y luego a cargo de la Subdirección de Gestión de Sistemas de Información, si la dificultad requiere de la intervención de estad unidad de la universidad. Se aclara que en servidor de producción se aloja la aplicación tecnológica de Archivo Pedagógico como los procesos de procesamiento de información que allí se dan, por lo cual algún daño físico podría interrumpir el servicio por lo cual el área designa para dicho monitoreo es la Subdirección de Gestión de Sistemas de Información. Monitoreo de Servicios de Aplicativos: El área de desarrollo de Archivo Pedagógico de Colombia frecuentemente revisa dichos servicios para el normal funcionamiento del aplicativo web. Sin embargo, en los momentos que se requiere se pide el apoyo respectivo a la Subdirección de Gestión de Sistemas de Información. Monitoreo de Bases de Datos: El área desarrollo de Archivo Pedagógico de Colombia se encarga de monitorear el correcto funcionamiento de la base de datos como también sus servicios, además del monitoreo se apoya con respaldos adicionales como es la copia periódica de (mensual) de la base de datos, para prevenir posibles pérdidas de información por corrupción o daño total de tablas o esquemas de datos. Este procedimiento se realiza periódicamente y frecuentemente para garantizar la prestación de servicio del portal a lo largo de las vigencias en que esté activo. Evento en curso. Cuando ocurre un evento, es decir una pérdida del servicio o intermitencia en el mismo del portal de Archivo Pedagógico de Colombia, procedemos a evaluar las posibles causas que motivan dicha interrupción y habiendo encontrado el problema el equipo de desarrollo procede a realizar la siguiente fase (Después del evento), pero no si antes de verificar los servicios de los aplicativos y bases de datos, ya que para ello se debe contemplar el uso del plan de respaldos en caso de no poder habilitar el servicio y exista perdida de información, por tablas

6 5 corruptas, de no ser el caso se deberá verificar simultáneamente el aplicativo para tratar de solucionar lo más pronto posible el inconveniente. Aquí intervienen los planes de respaldos en caso desfavorable de corrupción de aplicativo o de base de datos, y también el apoyo que preste para tal fin el proveedor de servicio y el área encargada de la Subdirección de Gestión de Sistemas de Información de la universidad. Después del evento. Después de ocurrido el evento el equipo de desarrollo de Archivo Pedagógico de Colombia evalúa los daños sufridos y revisa planes de respaldos y prevé dicho inconveniente para que no vuelva a ocurrir. Entre las estrategias propuestas es la solicitud a la Subdirección de Gestión de Sistemas de Información, garantizar que el servicio que brinda el portal web de Archivo Pedagógico de Colombia no se interrumpa, asimismo identificando los roles y responsabilidad de cada miembro de equipo de desarrollo tanto de Archivo Pedagógico como de la Subdirección de Gestión de Sistemas, de tal modo que sea posible la pronta verificación de los problemas como la restauración de los servicios. Adicionalmente, en algunos casos emitir informes de la causa y origen de las interrupciones de los servicios del portal, para emprender estrategias de prevención que garanticen que situaciones de este tipo no vuelvan a ocurrir o al menos minimizar su impacto. En general, antes, durante y después de que el evento ocurre, se procede a: - Evaluar el evento y contactar, si es el caso, a la Subdirección de Gestión de Sistemas de Información de la universidad, para una pronta restauración de los servicios del portal de Archivo Pedagógico de Colombia. - Recibidas las indicaciones de parte de la Subdirección de Gestión de Sistemas de Información el equipo de desarrollo de Archivo Pedagógico de Colombia, realiza las pruebas del caso y emite los conceptos requeridos para dar cierre o complementar la estrategia técnica aplicada. - El equipo de desarrollo de Archivo Pedagógico de Colombia, emite sugerencias acerca de la manera en que puede crearse un plan de contingencia común que beneficie a los sistemas de información y que se encamina a la realización de pruebas a nivel de todos los usuarios y/o clientes de la aplicación tecnológica. - En el caso de que ocurra un desastre, una interrupción o un desfase de gran magnitud en los sistemas de información de la universidad, durante el período de de desarrollo del portal de Archivo Pedagógico de Colombia, se pondrán en práctica el plan de contingencia descrito como aquel que posea la Subdirección de Gestión de Sistemas de Información de la universidad. Igualmente, se recibirán las orientaciones del caso de esta dependencia para el restablecimiento del servicio y el ofrecimiento de la última versión en línea del portal de Archivo Pedagógico de Colombia. Finalmente, se aclara que eventos críticos como la caída de UPS y, en general, lo concerniente al manejo adecuado de la energía eléctrica como los diferentes problemas de los sistemas de información con que cuenta en la actualidad la

7 6 Universidad Pedagógica Nacional, quedan por fuera del rango de manejo del equipo de desarrollo de Archivo Pedagógico de Colombia y son de entera responsabilidad de la Subdirección de Gestión de Sistemas de Información. FASE 2: IDENTIFICACION DE RIESGOS Esta fase busca minimizar las fallas generadas por cualquier caso en contra del normal desempeño del portal de Archivo Pedagógico de Colombia a partir del análisis de los desarrollos e implementaciones en curso. De este modo, el objetivo central de esta fase, es realizar un análisis de impacto social y tecnológico, para determinar el efecto de fallas de los principales sistemas de información de la universidad que afectan directamente el desempeño de la aplicación tecnológica. Es importante reconocer y reducir los riesgos potenciales que afecten a los servicios que ofrece el portal de Archivo Pedagógico de Colombia, por lo que se considera necesario en el marco del presente Plan, favorecer el cumplimiento de lo siguiente de cara al cumplimiento de los objetivos institucionales con el apoyo de la Subdirección de Gestión de Sistemas de Información: - Evaluar el impacto de los procesos críticos. - Valorar la certificación de los proveedores y contar con un canal directo de comunicación con los mismos. - Privilegiar el sostenimiento de proyectos de desarrollo como Archivo Pedagógico de Colombia, eliminando aquellos que cuenten con aplicaciones que resultan extemporáneos o no cuentan con niveles de continuidad en el tiempo. - Detectar deficiencias ante cambios en los sistemas afectados. - Guardar copias de información en los servidores de la universidad y pedir los apoyos de caso a los proveedores. Por otra parte, se hace necesario evaluar los puntos críticos en los sistemas de información de la universidad y que pueden afectar directa o indirectamente la aplicación de Archivo Pedagógico de Colombia, especialmente, hacer una revisión permanente de las dificultades que se puedan presentar en: Bases de datos, Comunicación y Servicios del Aplicativo Web. Se aclara que es una tarea de alta responsabilidad de parte de la Subdirección de Gestión de Sistemas de Información. Se menciona que en el contexto de los desarrollos de Archivo Pedagógico de Colombia, se cuenta modelos de seguridad para el acceso a la aplicación mediante encriptación así como también se garantiza la recuperación inmediata del servicio si la Subdirección de Gestión de Sistemas de Información no contará con la copia actual de la base de datos, información y aplicación. Archivo Pedagógico de Colombia siempre cuenta con una copia final disponible de su portal web en caso en de que sea requerida, asimismo cuenta con un servidor privado en el cual se aloja la toda la aplicación tecnológica con los desarrollos tecnológicos que se han realizado hasta el año Esto le sirve al equipo de desarrollo para monitorear la aplicación

8 7 y evaluar los eventos de falla que se presenten, igualmente para apoyar en lo que se requiera a la Subdirección de Gestión de Sistemas de Información. FASE 3: INTEGRIDAD DE DATOS E INFORMACIÓN En Archivo Pedagógico de Colombia, se cuenta con un permanente proceso de monitoreo de su aplicación tecnológica como de los datos y la información que es almacenada en esta y puesta a disposición de usuarios dentro y fuera de la Universidad Pedagógica Nacional. De este modo, cada vez que se generan nuevos datos e información, se procede a efectuar copias de seguridad de los mismos en discos externos como en servidores privados. Estas copias de los datos y la información son adicionales a los que deberá realizar, igualmente, la Subdirección de Gestión de Sistemas de Información, pero que contribuyen significativamente a garantizar que se minimice el riesgo de pérdida de datos o información generados en el contexto de desarrollo de Archivo Pedagógico de Colombia. De la misma manera, el equipo de desarrollo de Archivo Pedagógico de Colombia utiliza técnicas para el almacenamiento e integridad de la base de datos, sistemas de administración, aplicaciones, componentes y software que sea desarrollado en los repositorios digitales con que se cuenta. De este modo, las copias de seguridad se realizan mensualmente para evitar algún tipo de inconveniente al respecto, asimismo para garantizar que se puede hacer cualquier tipo de seguimiento a los desarrollos tecnológicos de Archivo Pedagógico de Colombia. Los datos e información que se almacenan y protegen están disponibles en la última versión de la aplicación tecnológica que se encuentra alojada en los servidores que ha dispuesto para tal fin Subdirección de Gestión de Sistemas de Información, de tal modo que esta dependencia cuenta con todo el acceso a la misma para monitorear, evaluar y, complementar, si es el caso los desarrollos que se requieran. Sobre esto último es importante resaltar que el equipo de desarrollo de Archivo Pedagógico de Colombia tiene en cuenta las orientaciones de la Subdirección de Gestión de Sistemas de Información para actualizar el código de programación, el gestor de contenidos y los demás requerimientos técnicos de la base de datos y demás aplicaciones con el propósito de evitar cualquier tipo de ataque informático o que vulnere la seguridad de la información dispuesta en el portal web. Sin embargo, en el mencionado portal el acceso a gran parte de la información se hace mediante registro de usuarios lo cual permite su identificación y seguimiento de parte del equipo de desarrollo. No obstante, es necesario en esta tarea que la Su Subdirección de Gestión de Sistemas de Información brinde todas las garantías de seguridad de la aplicación tecnológica de Archivo Pedagógico de Colombia, debido que en los servidores que administra está alojada la misma. Se aclara, igualmente, que en el caso de un ataque informático que afecte el funcionamiento del portal de Archivo Pedagógico de Colombia, es la Subdirección de Gestión de Sistemas de Información la dependencia en la universidad encargada de

9 8 hacer las gestiones penales, técnicas y que se requieren para dar solución al inconveniente. Seguridad Física Capítulo 2: Definiciones, Conceptos y Alcances Garantiza la integridad de los activos humanos, lógicos y materiales de un sistema de información de datos. Privacidad Derecho que tienen los individuos y organizaciones para determinar, ellos mismos, a quién, cuándo y qué información referente a ellos será difundida o transmitida a otros. Seguridad Se refiere a las medidas tomadas con la finalidad de preservar los datos o información que en forma no autorizada, sea accidental o intencionalmente, puedan ser modificados, destruidos o simplemente divulgados. En el caso de los datos de una organización, la privacidad y la seguridad guardan estrecha relación, aunque la diferencia entre ambas radica en que la primera se refiere a la distribución autorizada de información, mientras que la segunda, al acceso no autorizado de los datos. Integridad Se refiere a que los valores de los datos se mantengan tal como fueron puestos intencionalmente en un sistema. Las técnicas de integridad sirven para prevenir que existan valores errados en los datos provocados por el software de la base de datos, por fallas de programas, del sistema, hardware o errores humanos. El concepto de integridad abarca la precisión y la fiabilidad de los datos, así como la discreción que se debe tener con ellos. Datos Los datos son hechos y cifras que al ser procesados constituyen una información, sin embargo, muchas veces datos e información se utilizan como sinónimos. Los datos pueden ser: campos de datos, registros, archivos y bases de datos, texto (colección de palabras), hojas de cálculo (datos en forma matricial), imágenes (lista de vectores o cuadros de bits), vídeo (secuencia de tramas), etc.

10 9 Base de datos Una base de datos es un conjunto de datos organizados, entre los cuales existe una correlación y que además, están almacenados con criterios independientes de los programas que los utilizan. También es un conjunto de archivos interrelacionados que es creado y manejado por un Sistema de Gestión o de Administración de Base de Datos (Data Base Management System - DBMS). Algunas características de una base de datos son: a) Brinda seguridad e integridad a los datos, b) Provee lenguajes de consulta (interactivo), c) Provee una manera de introducir y editar datos en forma interactiva, d) Los detalles de la organización de los datos no necesitan incorporarse a cada programa de aplicación. Acceso Es la recuperación o grabación de datos que han sido almacenados en un sistema de computación. Cuando se consulta a una base de datos, los datos son primeramente recuperados hacia la computadora y luego transmitidos a la pantalla del terminal. Ataque Término general usado para cualquier acción o evento que intente interferir con el funcionamiento adecuado de un sistema informático, o intento de obtener de modo no autorizado la información confiada a una computadora. Amenaza Cualquier cosa que pueda interferir con el funcionamiento adecuado de una computadora personal, o causar la difusión no autorizada de información confiada a una computadora. Ejemplo: Fallas de suministro eléctrico, virus, saboteadores o usuarios descuidados. Seguridad integral de la información Las medidas de seguridad están basadas en la definición de controles físicos, funciones, procedimientos y programas que conlleven no sólo a la protección de la integridad de los datos, sino también a la seguridad física de los equipos y de los ambientes en que éstos se encuentren. En relación a la seguridad misma de la información, estas medidas han de tenerse en cuenta para evitar la pérdida o modificación de los datos, información o software inclusive, por personas no autorizadas, para lo cual se deben tomar en cuenta una serie de medidas, entre las cuales figurarán el asignar números de identificación y contraseñas a los usuarios.