manual de respaldos y estándares de seguridad informática para

Anuncio
CONSEJO DE PROMOCIÓN TURÍSTICA DE MÉXICO
“MANUAL DE RESPALDOS Y
ESTÁNDARES DE SEGURIDAD
INFORMÁTICA PARA USUARIOS”
(RECUPERACIÓN DE
INFORMACIÓN EN CASO DE
DESASTRE)
CONSEJO DE PROMOCIÓN TURÍSTICA DE MÉXICO
Manual de Políticas y Estándares de Seguridad Informática para
recuperación de información en caso de desastre.
Propósito
El presente documento tiene como finalidad dar a conocer las políticas y
estándares de Seguridad Informática que deberán observar los usuarios de
servicios de tecnologías de información, para proteger adecuadamente los
activos tecnológicos y la información del Consejo de Promoción Turística de
México.
Introducción
La base para que cualquier organización pueda operar de una forma confiable
en materia de Seguridad Informática comienza con la definición de las
políticas y estándares.
La Seguridad Informática, es una función en la que se deben evaluar y
administrar los riesgos, basándose en políticas y estándares que cubran las
necesidades de la Comisión en materia de seguridad.
Este documento se encuentra estructurado en dos políticas generales de
seguridad para usuarios de informática, con sus respectivos estándares que
consideran los siguientes puntos:
•
•
•
•
Seguridad:
Administración de Operaciones de Cómputo.
Controles de Acceso Lógico.
Cumplimiento.
Seguridad
Mantener la Integridad y confiabilidad de la información, se cuenta con
licenciamiento de VirusScan Enterprise, Antipyware Enterprise 8.5.0i
consiste en asegurar que los recursos del sistema de información (material
informático o programas) del CPTM estén libre de peligro, daño o riesgo
CONSEJO DE PROMOCIÓN TURÍSTICA DE MÉXICO
RESPALDO DE INFORMACIÓN.
OBJETIVO
Asegurar que la información generada por las diferentes unidades
administrativas, no se Pierda y esté disponible en caso de
desastre, o cualquier contingencia, como daño en los discos
duros, o eliminación accidental de la Información o bien un caso
de desastre físico.
NORMAS DE OPERACIÓN
• El respaldo de información se efectuará en cinta magnética de 40
GB.
• Los respaldos se harán diariamente antes de las 21:00 horas.
• Los Respaldos de los servidores se realizan en el site, los cuales
se realizan por día, semana y mensual. En el caso de que no se
puedan hacer los respaldos por algún problema con el Servidor
(Virus o falla en unidad de almacenamiento DAT´s) se procede a
realizarlos al día siguiente.
• Se hará el respaldo de lunes a jueves etiquetándolas con la fecha
de respaldo.
• El respaldo correspondiente al viernes se realizará conteniendo la
información de la semana. Ejemplo:
1ª- Semana ---------------- Viernes 1
2ª -Semana ---------------- Viernes 2
3ª - Semana ---------------- Viernes 3
4ª. -Semana ---------------- Mes 1.
PLAN DE RECUPERACION.
Es importante definir los procedimientos y planes de acción para el caso de una posible falla,
siniestro o desastre en el área de Informática
Cuando ocurra una contingencia, es esencial que se conozca al detalle el motivo que la originó y
el daño producido, lo que permitirá recuperar en el menor tiempo posible el proceso perdido.
Los procedimientos deberán ser de ejecución obligatoria y bajo la responsabilidad de los
encargados de la realización de los mismos, debiendo haber procesos de verificación de su
cumplimiento.
Las actividades a realizar en un Plan de Recuperación se pueden clasificar en tres etapas:
Actividades Previas al Desastre
•
Actividades Previas a la falla o desastre.
•
Actividades Durante la falla o Desastre.
•
Actividades Después de la falla o Desastre.
CONSEJO DE PROMOCIÓN TURÍSTICA DE MÉXICO
Son todas las actividades de planeamiento, preparación, entrenamiento y ejecución de las
actividades de resguardo de los activos del AI, que nos aseguren un proceso de Recuperación
con el menor costo posible.
Establecimiento de Plan de Acción
Se debe de establecer los procedimientos relativos a:
a) Equipos de Computo
b) Obtención y almacenamiento de los Respaldos de Información (BACKUPS).
c) Políticas (Normas y Procedimientos de Backups).
Equipos de Cómputo.
a) Es necesario realizar un inventario actualizado de los equipos (equipo entregado con el
proyecto de AI) especificando su contenido (software y licencias que usa)
b) Obtención y almacenamiento de los Respaldos de Información (BACKUPS).
Se deberá establecer los procedimientos para la obtención de copias de Seguridad de todos los
elementos de software necesarios para asegurar la correcta ejecución del Software y/o Sistemas
operativos que posee el CPTM. Para lo cual se debe contar con:
- Backups del Sistema Operativo (en caso de tener varios Sistemas Operativos o versiones, se
contará con una copia de cada uno de ellos).
- Backups del Software Base
- Backups de los Datos (Bases de Datos, passwords, y todo archivo necesario para la correcta
ejecución.
c) Políticas (Normas y Procedimientos de Backups)
Se debe establecer los procedimientos, normas, y determinación de responsabilidades,
debiéndose incluir:
- Periodicidad de cada Tipo de Backup (se sugiere realizarlo cada semana).
- Respaldo de Información de movimiento entre los períodos que no se sacan Backups (backups
incrementales).
- Almacenamiento de los Backups en condiciones ambientales óptimas, dependiendo del medio
magnético empleado.
- Reemplazo de los Backups, en forma periódica, antes que el medio magnético de soporte se
pueda deteriorar (reciclaje).
- Pruebas periódicas de los Backups (Restore), verificando su funcionalidad.
Actividades Durante el Desastre
Una vez presentada la Contingencia, Falla o Siniestro, se deberá ejecutar las siguientes
actividades, planificadas previamente:
- Plan de Emergencias.
- Entrenamiento.
CONSEJO DE PROMOCIÓN TURÍSTICA DE MÉXICO
Plan de Emergencias
En este plan se establecen las acciones se deben realizar cuando se presente un Siniestro, así
como la difusión de las mismas.
Es conveniente prever los posibles escenarios de ocurrencia del Siniestro:
•
Durante el día.
•
Durante la Noche o madrugada.
Este plan deberá incluir la participación y actividades a realizar por todas y cada una de las
personas que se pueden encontrar presentes en el área donde ocurre el siniestro, debiendo
detallar:
•
Vías de salida o escape.
•
Ubicación y señalización de los elementos contra el siniestro si los hubiere (extintores,
cobertores contra agua, etc.)
•
Secuencia de llamadas en caso de siniestro, tener a la mano: elementos de iluminación
(linternas), lista de teléfonos de Bomberos / Ambulancia, Jefatura de Seguridad y de personal
nombrado para operar en estos casos.
Entrenamiento
Establecer un programa de prácticas periódicas de todo el personal en la lucha contra los
diferentes tipos de siniestros, de acuerdo a los roles que se le hayan asignado en los planes de
evacuación del personal, para minimizar costos se puede aprovechar fechas de recarga de
extintores, charlas de los proveedores, etc.
Un aspecto importante es que el personal tome conciencia de que los siniestros (incendios,
inundaciones, terremotos, apagones, etc.) pueden realmente ocurrir, y tomen con seriedad y
responsabilidad estos entrenamientos, para estos efectos es conveniente que participen los
elementos directivos, dando el ejemplo de la importancia que la dirección otorga a la Seguridad
Institucional del Centro Educativo.
El Respaldo que se hace mensualmente se almacena en Sectur por tres meses, dicha Institución,
en su área de Informática, se encarga del resguardo de dichas cintas
La cuarta semana el respaldo contendrá toda la información actualizada del mes
Correspondiente, hasta llegar al mes 3 y se vuelven a reutilizar.
NOTA: Se reutilizan las cintas de respaldo que contiene la información de los días de la
Semana hasta llegar al viernes sucesivamente.
CONSEJO DE PROMOCIÓN TURÍSTICA DE MÉXICO
Politicas de Procedimiento:
1. Todas las carpetas de los servidores deberán respaldarse periódicamente.
2. Todos los respaldos deberán conservarse conformé lo acordado con las areas usuarias
correspondientes.
3. Los respaldos se harán de acuerdo al documento de políticas de manejo y control de
respaldo.
4. Todos los equipos centrales, bases de datos y sistemas informáticos deberán contar con
planes de contingencia en la dirección de Mercadeo Personalizado e Internet.
5. El usuario es responsable de los respaldos de los equipos personales.
CONSEJO DE PROMOCIÓN TURÍSTICA DE MÉXICO
Descripción de Actividades:
RESPONSABLE
ACTYIVIDAD NO
DESCRIPCION
Area Usuaria
Microsoft Windows 2000
Server
1
Define acorde con operación,
la periodicidad y la
información que deberá
respaldarse, asi como el
tiempo que se deberán
conservar los respaldos
Con el programa veritas
versión 9.0
Operación
2
Programa los respaldos de
Información.
Respalda la información
solicitada por el usuario.
Verifica que el respaldo haya
sido exitoso.
Clasifica la cinta en que se
respaldo la Información.
Controla los respaldos.
3
4
5
6
7
Se Colocan las cintas de
respaldo al área de resguardo.
CONSEJO DE PROMOCIÓN TURÍSTICA DE MÉXICO
DIAGRAMA DE FLUJO
INICIO
DEFINE CON
OPERACIÓN LA
PERIODICIDAD DE
RESPPALDOS
PROGARMA DE
RESPALDOS DE
INFORMACIÓN.
RESPALDA LA
INFORMACION
SOLICITADA POR EL
USUARIO
RESPALD
O
VERIFICA QUE EL
RESPALDO HAYA
SIDO EXITOSO
CLASIFICA LOS
RESPALDOS
CRONTROLA
RESPALDOS
ENVIA CARTUCHOS
AL AREA DE
RESGURDO
FIN
CONSEJO DE PROMOCIÓN TURÍSTICA DE MÉXICO
USO de medios de
almacenamiento
Los usuarios deberán respaldar diariamente la información sensitiva y crítica
que se encuentre en sus computadoras personales o estaciones de trabajo.
En caso de que por el volumen de información se requiera algún respaldo en
CD, este servicio deberá solicitarse por escrito al Centro de Atención a
Usuarios y con la firma del Director del área correspondiente.
Los usuarios de informática deben conservar los registros o información que
se encuentra activa y aquella que ha sido clasificada como reservada o
confidencial.
CONSEJO DE PROMOCIÓN TURÍSTICA DE MÉXICO
CONSEJO DE PROMOCIÓN TURÍSTICA DE MÉXICO
Descargar