CONSEJO DE PROMOCIÓN TURÍSTICA DE MÉXICO “MANUAL DE RESPALDOS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS” (RECUPERACIÓN DE INFORMACIÓN EN CASO DE DESASTRE) CONSEJO DE PROMOCIÓN TURÍSTICA DE MÉXICO Manual de Políticas y Estándares de Seguridad Informática para recuperación de información en caso de desastre. Propósito El presente documento tiene como finalidad dar a conocer las políticas y estándares de Seguridad Informática que deberán observar los usuarios de servicios de tecnologías de información, para proteger adecuadamente los activos tecnológicos y la información del Consejo de Promoción Turística de México. Introducción La base para que cualquier organización pueda operar de una forma confiable en materia de Seguridad Informática comienza con la definición de las políticas y estándares. La Seguridad Informática, es una función en la que se deben evaluar y administrar los riesgos, basándose en políticas y estándares que cubran las necesidades de la Comisión en materia de seguridad. Este documento se encuentra estructurado en dos políticas generales de seguridad para usuarios de informática, con sus respectivos estándares que consideran los siguientes puntos: • • • • Seguridad: Administración de Operaciones de Cómputo. Controles de Acceso Lógico. Cumplimiento. Seguridad Mantener la Integridad y confiabilidad de la información, se cuenta con licenciamiento de VirusScan Enterprise, Antipyware Enterprise 8.5.0i consiste en asegurar que los recursos del sistema de información (material informático o programas) del CPTM estén libre de peligro, daño o riesgo CONSEJO DE PROMOCIÓN TURÍSTICA DE MÉXICO RESPALDO DE INFORMACIÓN. OBJETIVO Asegurar que la información generada por las diferentes unidades administrativas, no se Pierda y esté disponible en caso de desastre, o cualquier contingencia, como daño en los discos duros, o eliminación accidental de la Información o bien un caso de desastre físico. NORMAS DE OPERACIÓN • El respaldo de información se efectuará en cinta magnética de 40 GB. • Los respaldos se harán diariamente antes de las 21:00 horas. • Los Respaldos de los servidores se realizan en el site, los cuales se realizan por día, semana y mensual. En el caso de que no se puedan hacer los respaldos por algún problema con el Servidor (Virus o falla en unidad de almacenamiento DAT´s) se procede a realizarlos al día siguiente. • Se hará el respaldo de lunes a jueves etiquetándolas con la fecha de respaldo. • El respaldo correspondiente al viernes se realizará conteniendo la información de la semana. Ejemplo: 1ª- Semana ---------------- Viernes 1 2ª -Semana ---------------- Viernes 2 3ª - Semana ---------------- Viernes 3 4ª. -Semana ---------------- Mes 1. PLAN DE RECUPERACION. Es importante definir los procedimientos y planes de acción para el caso de una posible falla, siniestro o desastre en el área de Informática Cuando ocurra una contingencia, es esencial que se conozca al detalle el motivo que la originó y el daño producido, lo que permitirá recuperar en el menor tiempo posible el proceso perdido. Los procedimientos deberán ser de ejecución obligatoria y bajo la responsabilidad de los encargados de la realización de los mismos, debiendo haber procesos de verificación de su cumplimiento. Las actividades a realizar en un Plan de Recuperación se pueden clasificar en tres etapas: Actividades Previas al Desastre • Actividades Previas a la falla o desastre. • Actividades Durante la falla o Desastre. • Actividades Después de la falla o Desastre. CONSEJO DE PROMOCIÓN TURÍSTICA DE MÉXICO Son todas las actividades de planeamiento, preparación, entrenamiento y ejecución de las actividades de resguardo de los activos del AI, que nos aseguren un proceso de Recuperación con el menor costo posible. Establecimiento de Plan de Acción Se debe de establecer los procedimientos relativos a: a) Equipos de Computo b) Obtención y almacenamiento de los Respaldos de Información (BACKUPS). c) Políticas (Normas y Procedimientos de Backups). Equipos de Cómputo. a) Es necesario realizar un inventario actualizado de los equipos (equipo entregado con el proyecto de AI) especificando su contenido (software y licencias que usa) b) Obtención y almacenamiento de los Respaldos de Información (BACKUPS). Se deberá establecer los procedimientos para la obtención de copias de Seguridad de todos los elementos de software necesarios para asegurar la correcta ejecución del Software y/o Sistemas operativos que posee el CPTM. Para lo cual se debe contar con: - Backups del Sistema Operativo (en caso de tener varios Sistemas Operativos o versiones, se contará con una copia de cada uno de ellos). - Backups del Software Base - Backups de los Datos (Bases de Datos, passwords, y todo archivo necesario para la correcta ejecución. c) Políticas (Normas y Procedimientos de Backups) Se debe establecer los procedimientos, normas, y determinación de responsabilidades, debiéndose incluir: - Periodicidad de cada Tipo de Backup (se sugiere realizarlo cada semana). - Respaldo de Información de movimiento entre los períodos que no se sacan Backups (backups incrementales). - Almacenamiento de los Backups en condiciones ambientales óptimas, dependiendo del medio magnético empleado. - Reemplazo de los Backups, en forma periódica, antes que el medio magnético de soporte se pueda deteriorar (reciclaje). - Pruebas periódicas de los Backups (Restore), verificando su funcionalidad. Actividades Durante el Desastre Una vez presentada la Contingencia, Falla o Siniestro, se deberá ejecutar las siguientes actividades, planificadas previamente: - Plan de Emergencias. - Entrenamiento. CONSEJO DE PROMOCIÓN TURÍSTICA DE MÉXICO Plan de Emergencias En este plan se establecen las acciones se deben realizar cuando se presente un Siniestro, así como la difusión de las mismas. Es conveniente prever los posibles escenarios de ocurrencia del Siniestro: • Durante el día. • Durante la Noche o madrugada. Este plan deberá incluir la participación y actividades a realizar por todas y cada una de las personas que se pueden encontrar presentes en el área donde ocurre el siniestro, debiendo detallar: • Vías de salida o escape. • Ubicación y señalización de los elementos contra el siniestro si los hubiere (extintores, cobertores contra agua, etc.) • Secuencia de llamadas en caso de siniestro, tener a la mano: elementos de iluminación (linternas), lista de teléfonos de Bomberos / Ambulancia, Jefatura de Seguridad y de personal nombrado para operar en estos casos. Entrenamiento Establecer un programa de prácticas periódicas de todo el personal en la lucha contra los diferentes tipos de siniestros, de acuerdo a los roles que se le hayan asignado en los planes de evacuación del personal, para minimizar costos se puede aprovechar fechas de recarga de extintores, charlas de los proveedores, etc. Un aspecto importante es que el personal tome conciencia de que los siniestros (incendios, inundaciones, terremotos, apagones, etc.) pueden realmente ocurrir, y tomen con seriedad y responsabilidad estos entrenamientos, para estos efectos es conveniente que participen los elementos directivos, dando el ejemplo de la importancia que la dirección otorga a la Seguridad Institucional del Centro Educativo. El Respaldo que se hace mensualmente se almacena en Sectur por tres meses, dicha Institución, en su área de Informática, se encarga del resguardo de dichas cintas La cuarta semana el respaldo contendrá toda la información actualizada del mes Correspondiente, hasta llegar al mes 3 y se vuelven a reutilizar. NOTA: Se reutilizan las cintas de respaldo que contiene la información de los días de la Semana hasta llegar al viernes sucesivamente. CONSEJO DE PROMOCIÓN TURÍSTICA DE MÉXICO Politicas de Procedimiento: 1. Todas las carpetas de los servidores deberán respaldarse periódicamente. 2. Todos los respaldos deberán conservarse conformé lo acordado con las areas usuarias correspondientes. 3. Los respaldos se harán de acuerdo al documento de políticas de manejo y control de respaldo. 4. Todos los equipos centrales, bases de datos y sistemas informáticos deberán contar con planes de contingencia en la dirección de Mercadeo Personalizado e Internet. 5. El usuario es responsable de los respaldos de los equipos personales. CONSEJO DE PROMOCIÓN TURÍSTICA DE MÉXICO Descripción de Actividades: RESPONSABLE ACTYIVIDAD NO DESCRIPCION Area Usuaria Microsoft Windows 2000 Server 1 Define acorde con operación, la periodicidad y la información que deberá respaldarse, asi como el tiempo que se deberán conservar los respaldos Con el programa veritas versión 9.0 Operación 2 Programa los respaldos de Información. Respalda la información solicitada por el usuario. Verifica que el respaldo haya sido exitoso. Clasifica la cinta en que se respaldo la Información. Controla los respaldos. 3 4 5 6 7 Se Colocan las cintas de respaldo al área de resguardo. CONSEJO DE PROMOCIÓN TURÍSTICA DE MÉXICO DIAGRAMA DE FLUJO INICIO DEFINE CON OPERACIÓN LA PERIODICIDAD DE RESPPALDOS PROGARMA DE RESPALDOS DE INFORMACIÓN. RESPALDA LA INFORMACION SOLICITADA POR EL USUARIO RESPALD O VERIFICA QUE EL RESPALDO HAYA SIDO EXITOSO CLASIFICA LOS RESPALDOS CRONTROLA RESPALDOS ENVIA CARTUCHOS AL AREA DE RESGURDO FIN CONSEJO DE PROMOCIÓN TURÍSTICA DE MÉXICO USO de medios de almacenamiento Los usuarios deberán respaldar diariamente la información sensitiva y crítica que se encuentre en sus computadoras personales o estaciones de trabajo. En caso de que por el volumen de información se requiera algún respaldo en CD, este servicio deberá solicitarse por escrito al Centro de Atención a Usuarios y con la firma del Director del área correspondiente. Los usuarios de informática deben conservar los registros o información que se encuentra activa y aquella que ha sido clasificada como reservada o confidencial. CONSEJO DE PROMOCIÓN TURÍSTICA DE MÉXICO CONSEJO DE PROMOCIÓN TURÍSTICA DE MÉXICO