PLAN DE CONFIGURACIÓN Y RECUPERACIÓN ANTE DESASTRES PARA EL SMBD.

Presentado por:

HERNAN MAURICIO PEÑA ERASO

JHON FREDY ORDOÑEZ

SERVICIO NACIONAL DE APRENDIZAJE SENA

ESPECIALIZACIÓN TECNOLOGICA Y SEGURIDAD DE BASES DE DATOS

2018
 INTRODUCCION

En la actualidad las empresas están implementando herramientas que permitan la

recuperación ante desastres o DRP (Disaster Recovery Plan). Este tipo de herramientas
comprenden un conjunto de recursos hardware, software y procedimientos que deben
permitir a una empresa reaccionar ante cualquier tipo de amenaza a sus actividades
internas o externas y continuar ofreciendo sus servicios en caso de que ocurran problemas
graves en los sistemas informáticos.

Cuando se habla de algún desastre no aplica solamente a catástrofes naturales como lo es

un terremoto, inundación, huracán o fenómeno similar que paralizan una región, sino
también a la inexperiencia de un usuario que desconecta una base de datos, o por algún
tubo de agua que afecte la conectividad y la disponibilidad del internet, también puede
suceder una súbita caída del servicio de energía tan común en nuestro entorno
tradicional.

Son infinitas las razones en el mundo cotidiano por las que las redes de cualquier empresa
pueden sufrir un incidente que afecte la continuidad del servicio ofrecido, dependiendo
como se gestione el incidente se pueden minimizar las consecuencias.
 PLAN DE CONFIGURACIÓN Y RECUPERACIÓN ANTE DESASTRES PARA EL SISTEMA
MANEJADOR DE BASES DE DATOS

Como objetivo de esta actividad se debe analizar y comprender los incidentes que se
puedan presentar y que afectan directamente la integridad de la organización usando un
plan de continuidad para así lograr siempre tener a salvo los activos de la organización.

 Que es posible hacer en DRP?

Conservar la estabilidad de la información protegiendo instalaciones y recursos del

centro de información.

Recuperar desastres en cuestión de minutos después de cualquier evento que

signifique riesgo o crisis potencial para una empresa.

Aprovechar la posibilidad de establecer el tiempo en que debe recuperarse los datos.

(RTO)

Restablecer los niveles de actualización de los datos, según su tipo. (RPO).

A través de Internet es posible encontrar plataformas que nos permiten habilitar modelos
de DRP rápidamente y a bajo costo, gracias a que ofrece servicios instantáneos, rápidos, y
además permite generar ambientes aislados para la realización de las pruebas necesarias
del sistema de la información sin afectar al usuario final. Una de sus grandes ventajas es la
reducción de costos al estar “en la nube” y la garantía de que la información está
encriptada en un espacio propio e impenetrable por terceros.

Se deben tener en cuenta unos elementos esenciales para que un plan de recuperación
ante desastres sea sólido.

 Como primer paso se debe definir de una forma concreta el plan de recuperación
ante desastres involucrando a la gerencia. Ellos son los responsables de su
coordinación y deben asegurar siempre la efectividad. Adicionalmente, deben
 proveer los recursos necesarios para un desarrollo efectivo de este plan. Todos los
departamentos de la organización participan en la definición del plan.
 Establecer las probabilidades de los desastres naturales o causados por errores
humanos. Por esta razón se realiza un análisis de riesgo y crear una lista para que
cada departamento analice las posibles consecuencias y el impacto relacionado
con cada tipo de desastre. Esto servirá como referencia para identificar lo que se
necesita incluir en el plan. Con un plan completo reduce de forma notable la
pérdida total del centro de datos y eventos de larga duración de más de una
semana.
 Luego de definir claramente estas necesidades por departamento, se les asigna
una prioridad. Esto es importante, porque ninguna compañía tiene recursos
infinitos. Los procesos y operaciones son analizados para determinar la máxima
cantidad de tiempo que la organización puede sobrevivir sin ellos. Se establece un
orden de recuperación según el grado de importancia. Esto se define como el
Recovery Time Objective, Tiempo de Recuperación o RTO. Otro término
importante es el Recovery Point Objective, Punto de Recuperación o RPO.
 En la etapa de selección de estrategias de recuperación se determinan todas las
alternativas más prácticas para proceder al escoger el plan anti desastres. Todos
los aspectos de la organización son analizados, incluyendo hardware, software,
comunicaciones, archivos, bases de datos, instalaciones, etc. Las alternativas a
considerar varían según la función del equipo y pueden incluir duplicación de
centros de datos, alquiler de equipos e instalaciones, contratos de
almacenamiento y muchas más. Igualmente, se analiza los costos asociados.
 La virtualización constituye un avance considerable al aplicarse en el Plan de
Recuperación ante Desastres (DRP). Para garantizar eficiencia, flexibilidad,
implementación e incluso reducción de costos.
 Considerar componentes realmente esenciales a proteger como lo son listas de
inventarios, copias de seguridad de datos y de software, documentación y todas
 las cosas más relevantes, la creación previa de plantillas de verificación ayuda a
simplificar este proceso.
 Un resumen del plan debe ser respaldado por la gerencia. Este documento
organiza los procedimientos, identifica las etapas importantes, elimina
redundancias y define el plan de trabajo. La persona o personas que escriban el
plan deben detallar cada procedimiento, tomando en consideración el
mantenimiento y la actualización del plan a medida de que el negocio evoluciona.
El plan asigna responsabilidad a diferentes equipos / departamentos y alternos.
 CRITERIOS Y PROCEDIMIENTOS DE PRUEBA DEL PLAN

La experiencia indica que los planes de recuperación deben ser probados en su totalidad
por lo menos una vez al año. La documentación debe especificar los procedimientos y la
frecuencia con que se realizan las pruebas. Las razones principales para probar el plan son:
verificar la validez y funcionalidad del plan, determinar la compatibilidad de los
procedimientos e instalaciones, identificar áreas que necesiten cambios, entrenar a los
empleados y demostrar la habilidad de la organización de recuperarse de un desastre.

Después de las pruebas el plan debe ser actualizado. Se sugiere que la prueba original se
realice en horas que minimicen trastornos en las operaciones. Una vez demostrada la
funcionalidad del plan, se debe hacer pruebas adicionales donde todos los empleados
tengan acceso virtual y remoto a estas posiciones y funciones en el caso de un desastre.

Después de que el plan haya sido puesto a prueba y corregido, la gerencia deberá
aprobarlo esto es la aprobación final. Ellos son los encargados de establecer las pólizas, los
procedimientos y responsabilidades en caso de contingencia, y de actualizar y dar el visto
al plan anualmente. A la vez, sería recomendable evaluar los planes de contingencia de
proveedores externos.
PARA EVITAR INCIDENTES EN LA CONFIGURACIÓN E INSTALACIÓN SE DEBE CONSIDERAR
LO SIGUIENTE:

• Configurar e instalar el hardware necesario. Para el correcto funcionamiento del SGBD.

Eso incluye ampliar memoria, discos duros, además de configurarles para su óptimo
rendimiento. También la gestión mínima del sistema operativo para que la base de datos
funcione correcta y rápidamente.

• Instalación y mantenimiento del SGBD. Seleccionando la más adecuada forma de

instalación y configurando lo necesario para su óptimo rendimiento acorde con las
necesidades, así como realizar las actualizaciones del sistema que sean necesarias.

• Crear las estructuras de almacenamiento de la base de datos. Es quizá la tarea que de

forma más habitual se relaciona con los DBA. Consiste en crear y configurar las estructuras
físicas y los elementos lógicos que permitan un rendimiento optimizado de la base de
datos.

• Crear y configurar la base de datos. Creación de la estructura interna de la base de datos

(tablas, usuarios, permisos, vistas). Es otra de las tareas más habitualmente relacionadas
con el DBA y la primera fase en administración de una base de datos.

• Control de los usuarios y los permisos. En definitiva establecer las políticas de seguridad
tan imprescindibles en toda base de datos.

• Monitorizar y optimizar el rendimiento de la base de datos. Un DBA debe detectar los

cuellos de botella del sistema y actuar en consecuencia. Esto incluye optimizar las
instrucciones SQL por lo que implica asistir a los desarrolladores para que utilicen las
instrucciones más eficientes sobre las bases de datos.

• Realizar tareas de copia de seguridad y recuperación. Quizá la tarea más crítica. Consiste
en realizar acciones para en caso de catástrofe poder recuperar todos los datos

* Gestión de copias de seguridad. Una de las funciones críticas de la base de datos ya que
permite la recuperación de información en caso de problemas.
* Aplicaciones de exportación e importación de datos. Para poder utilizar datos de otros
SGBD u otro software.

* Posibilidad de recuperación en caso de desastre. Para evitar perder información en caso

de problemas serios con el software (errores de hardware, apagones prolongados,)

* Archivos LOG. Desde los que podemos examinar las incidencias y monitorizar el
funcionamiento de la base de datos.

* Herramientas para programar aplicaciones. Que permitan crear las aplicaciones (o

facilidades) de usuario.

* Gestión de la comunicación con los clientes de la base de datos. Permiten establecer

conexión con la base de datos desde máquinas remotas.

* Optimización de consultas. Busca el mínimo tiempo de respuesta para las operaciones

sobre los datos.

* Herramientas para automatizar tareas. Permiten realizar programaciones sobre

operaciones habituales sobre la base de datos. Posibilidad de distribuir la base de datos
entre diferentes máquinas, y así mejorar su alta disponibilidad.

* Gestión de transacciones, ACID. ACID significa Atomicity, Consistency, Isolation and

Durability: Atomicidad, Consistencia, Aislamiento y Durabilidad en español y es una norma
obligatoria que deben de cumplir las bases de datos para que una transacción se pueda
considerar como tal.
 RIESGOS GENERALES A TENER EN CUENTA

1 Polvo Amenaza

2 Suspensión del fluido eléctrico Amenaza

3 Electromagnetismo Vulnerabilidad

4 Calentamiento del cuarto eléctrico Amenaza

5 Falla de software Vulnerabilidad

6 Ataque informático Amenaza

7 Falta de ventilación Vulnerabilidad

8 Perdida de información Vulnerabilidad

9 Incendio Amenaza

10 Falla de hardware Vulnerabilidad

Estos riesgos se deben aplicar a cada elemento que sea considerado un activo para la
organización.

Para las bases de datos se debe considerar las fallas de hardware, software, virus
malware, spyware y ataques externos.

ACTIVO Base de datos

RIESGO Falla de hardware

PROBABILIDAD Media

IMPACTO Alto

ESCENARIO PROBABLE Falta de mantenimiento, polvo y humedad

FUNCIONES AFECTADAS Todas

MITIGACION DE RIESGOS Mantenimiento preventivo, organización de

cableado, fallas eléctricas

ACCIONES A TOMAR  Análisis del problema de hardware

 Informar al administrador del sistema
 Restaurar el equipo físico
 Reiniciar el sistema operativo
RESPONSABLES Técnicos, administrador de los sistemas

RECURSOS  Cable de poder

 Tester
 Discos duros
Respecto a este proceso de fallas a nivel hardware se recomienda realizar mantenimiento
preventivo frecuentemente de los discos y de la base de datos en general para sacar el
mejor provecho y evitar incidentes.

ACTIVO Base de datos

RIESGO Falla de software

PROBABILIDAD Media

IMPACTO Alto

ESCENARIO PROBABLE Firewall apagado, sobrecarga de

procesamiento

FUNCIONES AFECTADAS Todas

MITIGACION DE RIESGOS Protección con firewall activo, actualizar

versiones de aplicaciones

ACCIONES A TOMAR  Análisis del problema de software

 Reseteo del sistema operativo
 Cambio de discos
RESPONSABLES Instructores, administrador de los sistemas

RECURSOS  Programas de recuperación y respaldo

Tener en cuenta la sobrecarga de procesos porque esto causa fallas en el software.

ACTIVO Base de datos

RIESGO Virus, Malware, Spyware

PROBABILIDAD Media

IMPACTO Alto

ESCENARIO PROBABLE  Navegación insegura

 Antivirus desactualizado
 Firewall mal configurado
 Memorias extraíbles infectadas
FUNCIONES AFECTADAS  Almacenamiento masivo
 Backups
MITIGACION DE RIESGOS  Actualización de antivirus
 Actualizar sistema operativo
 Programas antimalware
 Sellamiento de puertos
ACCIONES A TOMAR  Análisis del sistema
 Ejecución de limpieza
 Restauración del sistema
 Formateo del sistema
RESPONSABLES Instructores, administrador de los sistemas

RECURSOS  Antivirus
 Antimalware
 Firewall
Las bases de datos son comúnmente infectadas por navegación insegura, mal manejo de
unidades extraíbles, sistema operativo desactualizado, entre otros.

Estos riesgos pueden ser mitigados con las debidas herramientas de contrarrestar estas
infecciones del sistema.

Lo ataques externos que les hacen a las bases de datos, son por obvia razón intencionados
por personas maliciosas que quieren afectar la integridad de la entidad.

ACTIVO Base de datos

RIESGO Ataque de externos

PROBABILIDAD Media

IMPACTO Alto

ESCENARIO PROBABLE  Ataque de hacker

 Acceso no autorizado
FUNCIONES AFECTADAS  Lo que esté relacionado con software

MITIGACION DE RIESGOS  Anonimato de red

 Acceso restringido físico a la red local
 Sellamiento de puertos
ACCIONES A TOMAR  Análisis del daño causado
 Desconexión de la red
 Reinicio de sistema en modo seguro
RESPONSABLES Administrador de los sistemas

RECURSOS  Backup
 Discos extraíbles
 Firewall