lunes, 4 de junio de 2012

10.7 Proteger La Confidencialidad De La Información.

Protección de la confidencialidad de la informaciónEl primer nivel es la contraseña para acceder al disco duro. Si esta contraseña se establece, es necesario suministrarla cada vez que el sistema se enciende, o el disco no rotará, en cuyo caso la información no estará accesible.
La encriptación es el segundo nivel. El concepto es sencillo. La información encriptada no puede utilizarse.
La seguridad ThinkVantage™ cuenta con dos métodos primario de proteger la información almacenada en la PC mediate la encriptación. Uno de ellos es la encriptación de la totalidad del contenido del disco duro. Todos los sectores del disco duro se encriptan, incluyendo los bloques de datos de paginación de memoria (page data sets), los archivos de intercambio, los archivos temporales y los archivos en cache de Internet.
El otro método es la encriptación de archivos individuales. En este caso, la única información que corre riesgo de caer en manos de un intruso es la que se encuentra desencriptada y en uso en el momente en que el intruso obtiene acceso a la PC.
Ambos métodos de proteger la confidencialidad de la información dependen de la autenticación para probar que usted tiene derecho a acceder a determinada información. El acceso se otorga si usted conoce la contraseña o si su huella digital compagina con la que está almacenada en el sistema.
Confidencialidad
La confidencialidad es la propiedad de prevenir la divulgación de información a personas o sistemas no autorizados.
Por ejemplo, una transacción de tarjeta de crédito en Internet requiere que el número de tarjeta de crédito a ser transmitida desde el comprador al comerciante y el comerciante de a una red de procesamiento de transacciones. El sistema intenta hacer valer la confidencialidad mediante el cifrado del número de la tarjeta y los datos que contiene la banda magnética durante la transmisión de los mismos. Si una parte no autorizada obtiene el número de la tarjeta en modo alguno, se ha producido una violación de la confidencialidad.
La perdida de la confidencialidad de la información puede adoptar muchas formas. Cuando alguien mira por encima de su hombro, mientras usted tiene información confidencial en la pantalla, cuando se publica información privada, cuando un laptop con información sensible sobre una empresa es robado, cuando se divulga información confidencial a través del teléfono, etc. Todos estos casos pueden constituir una violación de la confidencialidad.
Exención de responsabilidades
Si bien la FAO proporciona enlaces a otros sitios Web que considera que se ajustan a sus normas, la FAO no se hace responsable de la información publicada en otros sitios Web que no le pertenecen. Por lo tanto, la FAO no es responsable y no reconoce obligación respecto a la información u opiniones contenidas en los sitios Web de terceros. Si bien la FAO se esfuerza para que su sitio Web sea completo y correcto, no garantiza estas dos condiciones y no acepta responsabilidad por los daños que pudieran producirse a consecuencia de la utilización del sitio.
La FAO Notificará al usuario los cambios importantes que se introduzcan a la política de confidencialidad, a través de un anuncio en nuestro sitio.
Los servicios proporcionados por los editores están sujetos a autorización independiente entre el usuario y los editores participantes en el AGORA 

10.6 Manipular Utilerias De Recuperación y Restauración De La Información.





Básicamente funciona así: Cuando grabas datos en el disco duro o memoria usb y después los "borras", en realidad lo que le estás indicando al sistema es que ese espacio que tus datos ocupaban puede ser reutilizado en caso de querer guardar datos de nuevo. La función de los programas de recuperación de datos es descifrar y discriminar de entre los datos vigentes y los "borrados" para hacerte visibles estos últimos. Ya identificados los archivos que deseas recuperar los guardas en un dispositivo diferente a aquel en donde se alojan. Dependiendo del tamaño del disco o usb será el tiempo que tarde en leer y mostrar archivos borrados o perdidos. Debes tener paciencia, el proceso es algo lento.

10.5 Elaborar Respaldos De Información.

1. El uso y aprovechamiento del Servidor de Respaldo será destinado únicamente para apoyar las funciones que son propias de la Procuraduría Agraria.

2. Queda estrictamente prohibido almacenar, en las carpetas asignadas en el Servidor Institucional de Respaldos, archivos de juegos, música, reproductores de música y/o video, programas de cómputo sin licencia y cualquier otra información ajena a la Institución.

3. Invariablemente, el Enlace, debe de registrar los respaldos de información efectuados en el formato de Control de Respaldos, con base al instructivo de llenado previamente definido y proporcionado por la Dirección de Informática.

4. El Enlace debe archivar los formatos de Control de Respaldos en una carpeta especial para tales efectos, conforme a los lineamientos definidos por la Dirección de Informática.

5. En caso de requerir una copia de seguridad de la información resguardada en la Bóveda de Seguridad, cada unidad administrativa deberá proporcionar a la Dirección de Informática una cinta magnética HP DDS-2 C5707A de 8 GB.

6. Es responsabilidad de cada una de las unidades administrativas de Oficinas Centrales requerir a la Dirección de Recursos Materiales y Servicios el suministro de las cintas magnéticas HP DDS-2 C5707A de 8 GB.

7. Invariablemente la información a respaldar debe estar compactada y debidamente identificada; así mismo, deberá ser registrada en el Control de Respaldos, de acuerdo a lo establecido por la Dirección de Informática.

Del Calendario de Respaldos.

1. La Dirección de Informática elaborará y proporcionará el calendario para la generación del respaldo de los datos contenidos en el Servidor de Respaldo, el cual remitirá a las unidades administrativas para su conocimiento.

2. La Dirección de Informática realizará el respaldo de toda la información contenida en el Servidor Institucional de Respaldo de acuerdo al Calendario de Respaldos, a efecto de disponer de una copia de seguridad de la información Institucional de las unidades administrativas de Oficinas Centrales y trasladarla a la Bóveda de Seguridad externa.

Del Servidor Institucional.

1. El respaldo de la información contenido en el Servidor Institucional de Respaldo se efectuará a partir de las 16:00 horas, del día especificado en el Calendario previamente definido, por lo anterior, se suspenderá el servicio a los Enlaces para no alterar el proceso de copia de seguridad, una vez terminado, la Dirección de Informática notificará mediante el servicio de Correo Electrónico a los Enlaces y pueden utilizar el Servidor.

2. Cada unidad administrativa de Oficinas Centrales dispondrá de un espacio de 5 GB para almacenar la información.

3. El Servidor Institucional de Respaldo estará en servicio las 24 horas del día, excepto de los días establecidos en el Calendario de Respaldos, con la finalidad de que el Enlace realice el respaldo de la información generada en su unidad administrativa de adscripción.

4. La Dirección de Informática elaborará los “usuarios” en el Servidor Institucional de Respaldo, los cuales serán inamovibles

10.5 confidencialidad de la informacion
 

10.4 Etiquetar Los Medios De Almacenamiento.



Asistente para el etiquetado de medios

Los medios de almacenamiento deben estar etiquetados y dados de alta
 en Tivoli Storage Manager para poder utilizarlos. El etiquetado de medios 
se realiza al inicio de cada volumen para que éste quede identificado de forma 
exclusiva en Tivoli Storage Manager. El Asistente para el etiquetado de medios
 sólo aparece si se han definido dispositivos de almacenamiento conectados
 en Tivoli Storage Manager.
Aparecerán versiones ligeramente diferentes del asistente para dispositivos 
de almacenamiento manuales y automatizados. En este apartado se describe
 el etiquetado de medios y el proceso de alta de dispositivos de biblioteca
 automatizada.

Tareas de configuración

El Asistente para el etiquetado de medios consta de una página de bienvenida
 y una serie de páginas de entrada que le ayudarán a realizar las tareas siguientes:

Primera página de entrada
Seleccionar los dispositivos que contienen los medios que desea etiquetar.
Segunda página de entrada
Seleccionar y etiquetar medios concretos.
Tercera página de entrada
Dar de alta medios etiquetados en Tivoli Storage Manager.
Selección de dispositivos y unidades
Figura 14. Configuración inicial - Asistente para el etiquetado de medios (1)Primera página de entrada del Asistente para el etiquetado de medios
  • En el panel izquierdo aparecen dispositivos y unidades que reconoce Tivoli Storage Manager.
  • En el panel derecho aparece información sobre el dispositivo o la unidad que se seleccione en el panel izquierdo.
Para seleccionar un dispositivo y las unidades asociadas, marque la casilla situada junto al nombre del dispositivo o de la unidad.
Selección y etiquetado de medios
Figura 15. Configuración inicial - Asistente para el etiquetado de medios (2)
Segunda página de entrada del Asistente para el etiquetado de medios
Para seleccionar y etiquetar medios, siga estos pasos:
  1. Marque la casilla situada junto al medio que desea etiquetar.
  2. Marque Grabar sobre etiqueta existente si fuera preciso y seleccione otras opciones de etiquetado existentes.
  3. Pulse el botón Etiquetar ahora.
    Aparecerá el diálogo Etiquetado de medios de Tivoli Storage Manager.
  4. Entre una etiqueta para el medio.
    El Asistente para el etiquetado de medios da soporte a etiquetas de hasta seis caracteres de longitud.
  5. Pulse Aceptar.
    Aparecerá el diálogo Monitor de etiquetado de medios de Tivoli Storage Manager. El estado se muestra y se actualiza a lo largo de todo el proceso de etiquetado. Una vez que finaliza el proceso de etiquetado, el botón Aceptar pasa al estado activo. La duración de esta operación depende del hardware de almacenamiento y del tipo de medio que está utilizando.
  6. Pulse Aceptar.
    La etiqueta nueva debería aparecer en el panel izquierdo.
  7. Cuando haya acabado de etiquetar medios, pulse Siguiente.
    Aparecerá el diálogo Dar de alta medios.
Alta de medios
Figura 16. Configuración inicial - Asistente para el etiquetado de medios (3)
Tercera página de entrada del Asistente para el etiquetado de medios
Este diálogo solo aparecerá si en el diálogo anterior etiquetó medios.
  • Pulse el botón Dar de alta ahora para dar de alta medios etiquetados en Tivoli Storage Manager. Los volúmenes de medios de todos los dispositivos de almacenamiento que seleccionó en el primer diálogo de etiquetado pueden darse de alta. Todos los medios etiquetados no dados de alta anteriormente en este servidor se darán de alta automáticamente en este momento.
    Aparecerá un diálogo en el que se describe el proceso de alta. El proceso de alta se ejecuta como proceso de fondo y los medios no estarán disponibles para su utilización hasta que finalice el proceso. El proceso dura más o menos tiempo en función del hardware de almacenamiento y del volumen de los medios que se están dando de alta. Para supervisar el proceso de alta, finalice la configuración inicial y siga estos pasos:
    1. En la consola de Tivoli Storage Manager, expanda el árbol del servidor de Tivoli Storage Manager que está configurando.
    2. Expanda Informes y pulse Supervisar.
    3. Pulse el botón Iniciar para supervisar procesos del servidor en tiempo real.

10.3 Establecer La Frecuencia Del Respaldo.



Normativa
1)     Todo sistema deberá contar con la documentación de los procedimientos de resguardo y recuperación antes de entrar en producción.  La misma será controlada por el área responsable de la Seguridad Informática para verificar que es clara, completa y contempla como mínimo la recuperación de los siguientes elementos:
a)     El reemplazo de los servidores críticos. 
b)     El sistema operativo y su configuración (parámetros, file systems, particiones, usuarios y grupos, etc.).
c)     Los utilitarios y paquetes de software de base necesarios para que la aplicación se ejecute.
d)     Los programas que componen la aplicación.
e)     Los archivos y/o bases de datos del sistema.
f)      Horario de ejecución de la copia de resguardo.
No se pondrá en producción ningún sistema que no cumpla este requerimiento. 
2)     Todas las copias de resguardo deberán estar claramente identificadas, con etiquetas que indiquen como mínimo
a)     Equipo al que pertenecen
b)     Fecha y hora de ejecución
c)     Frecuencia : anual, mensual, semanal, diaria 
d)     Número de secuencia o lote 
e)     Tipo de backup
f)      Nombre del sistema o aplicativo y otros datos necesarios para su fácil reconocimiento. 
3)     Se llevará un registro diario de  las cintas en uso indicando al menos, 
a)     Fecha de ejecución  del resguardo.
b)     Qué cintas integran el backup de los equipos. 
c)     Cantidad de veces que se usó la cinta.
d)     Lugares asignados para su guarda. 
El área responsable de Seguridad Informática revisará periódicamente que se cumpla con este registro en tiempo y forma.

4)     Todos los procedimientos de respaldo deberán generar un log en el equipo que permita la revisión del resultado de la ejecución, y dentro de lo posible, se realizarán con la opción de verificación de integridad (lectura posterior a la escritura.)
5)     Los sitios donde se almacenen las copias de resguardo deberán ser físicamente seguros, con los controles físicos y ambientales según normas estándares; los soportes ópticos o magnéticos deben guardarse dentro de un armario o caja de seguridad ignífugo.
 6)     Se generarán en lo posible DOS (2) copias de resguardo,  guardando una de ellas en un edificio diferente al del ámbito de procesamiento, en un lugar que cumpla con los requerimientos mencionados en el punto 5) y a distancia tal que la ocurrencia de cualquier contingencia en uno no afecte al otro. En caso de tener solo una copia esta debe ser llevada fuera del ámbito de procesamiento de la forma anteriormente mencionada. 
El traslado de las cintas debe ser realizado por personal debidamente autorizado, utilizando los accesos habilitados para movimiento de insumos.
7)     Se realizarán copias de resguardo del sistema completo de acuerdo a lo indicado en la frecuencia asignada a cada aplicación o sistema, previendo la conservación de estos backups por el período de tiempo también estipulado previamente conforme a la criticidad de la información.
 8)     En el caso de utilizar backups incrementales se deberá tener en cuenta lo siguiente:
a)     Se documentará la identificación de secuencia de los backups incrementales. 
b)     Deberán existir controles para prevenir la carga de cintas en una secuencia equivocada.
c)     Se realizará un backup del sistema completo cada SIETE (7) días corridos. 
 9)     Se efectuarán pruebas de recuperación de las copias de resguardo al menos una vez cada TREINTA (30) días corridos. Estas pruebas servirán para constatar que se puedan obtener correctamente los datos grabados en la cinta al momento de ser necesarios, de forma de garantizar su propósito.
Las pruebas se deberán formalizar en un acta escrita y firmada por el responsable del sector técnico y el encargado de realizar la recuperación.
Eventualmente el área responsable de la Seguridad Informática presenciará las pruebas y firmará el acta.
10)   Los servidores críticos deberán contar con RAIDs de discos, a los efectos de que la información sensible no se vea afectada por potenciales desperfectos en los discos.
11)   Para el caso de aplicaciones críticas se implementarán técnicas de replicación automática, por hardware o software, de forma tal que si el equipo/base de datos principal deje de funcionar el equipo/base de datos espejo tome el control inmediatamente.
12)   Los períodos de retención de la información histórica  son los siguientes:
Fuentes y base de datos: perpetuo
Lotes de TRANSAF: perpetuo.
Actividades de los usuarios y pistas de auditoría: TRES (3) años.
13)   El resguardo de la información histórica se realizará utilizando soportes ópticos de referencia no reutilizables (CDs, etc).
14)   Los procedimientos de generación y grabación de estos archivos serán automáticos, a fin de evitar su modificación.






virus-pendrive






10.2- Seleccionar La Ubicación Física De Respaldos.



La computadora como herramienta de solución para problemas de cálculo de operaciones, investigación de procesos, enseñanza, etc. establece las bases para determinar el objetivo de un centro de computo, como es el de prestar servicios a diferentes áreas de una organización ya sea dentro de la misma empresa, o bien fuera de ella, tales como: producción, control de operaciones, captura de datos, programación, dibujo, biblioteca, etc.Los diversos servicios que puede prestar un centro de computo, pueden dividirse en departamentos a áreas específicas de trabajo.
Planeación de instalación física y ubicación física.
  
La ubicación física e instalación de un Centro de Cómputo en una empresa depende de muchos factores, entre los que podemos citar: el tamaño de la empresa, el servicio que se pretende obtener, las disponibilidades de espacio físico existente o proyectado, etc. Generalmente, la instalación física de un Centro de Cómputo exige tener en cuenta por lo menos los siguientes puntos:
  • Local físico. Donde se analizará el espacio disponible, el acceso de equipos y personal, instalaciones de suministro eléctrico, acondicionamiento térmico y elementos de seguridad disponibles.
  • Espacio y movilidad. Características de las salas, altura, anchura, posición de las columnas, posibilidades de movilidad de los equipos, suelo móvil o falso suelo, etc.
    Iluminación. El sistema de iluminación debe ser apropiado para evitar reflejos en las pantallas, falta de luz en determinados puntos, y se evitará la incidencia directa del sol sobre los equipos.
     
  • Tratamiento acústico. Los equipos ruidosos como las impresoras con impacto, equipos de aire acondicionado o equipos sujetos a una gran vibración, deben estar en zonas donde tanto el ruido como la vibración se encuentren amortiguados.
  • Seguridad física del local. Se estudiará el sistema contra incendios, teniendo en cuenta que los materiales sean incombustibles (pintura de las paredes, suelo, techo, mesas, estanterías, etc.). También se estudiará la protección contra inundaciones y otros peligros físicos que puedan afectar a la instalación.
  • Suministro eléctrico. El suministro eléctrico a un Centro de Cómputo, y en particular la alimentación de los equipos, debe hacerse con unas condiciones especiales, como la utilización de una línea independiente del resto de la instalación para evitar interferencias, con elementos de protección y seguridad específicos y en muchos casos con sistemas de alimentación ininterrumpida (equipos electrógenos, instalación de baterías, etc.).

10.1 Establecer Políticas De Resguardo De Información.



No es ninguna novedad el valor que tiene la información y 
los datos para nuestros negocios . Los que resulta increíble 
de esto es la falta de precauciones que solemos tener al confiar
 al núcleo de nuestros negocios al sistema de almacenamiento 
de lo que en la mayoría de los casos resulta ser una computadora 
pobremente armada tanto del punto de vista de hardware como
 de software .
Las interrupciones se presentan de formas muy variadas:
 virus informáticos , fallos de electricidad , 
errores dehardware  y software , caídas de
 red , hackers , errores humanos, incendios , 
inundaciones, etc. Y aunque no se pueda prevenir
 cada una de estas interrupciones, la empresa sí
 puede prepararse para evitar las consecuencias
 que éstas puedan tener sobre su negocio.
 Del tiempo que tarde en reaccionar una
 empresa dependerá la gravedad de 
sus consecuencias.

Lo ideal es que nunca sufra pérdidas de información. 
Pero para que esto se cumpla es importante cumplir con
 todos y cada unos de los puntos que aqui se detallan:
  • Seguridad del Hardware
  • Seguridad edilicia
  • Seguridad interna
  • Mantenimiento Preventivo
  • Seguridad de Redes
  • Seguridad de la Base de Datos
  • Seguridad de la base de datos
  • Seguridad de los archivos de la base de datos
  • Seguridad en el Sistema informático
  • Seguridad en el Sistema Operativo
  • Seguridad de servidores
  • Seguridad de PCs Clientes
  • Seguridad Antivirus: Definición de pólitica de antivirus
Seguridad de los documentos informáticos de la empresa:
 Política de almacenamiento de documentos informáticos.

Seguridad de los archivos en papel que respaldan
 la base de datos: Política de almacenamiento de archivos en papel
  • Resguardo de la información
  • Resguardo de Hardware
  • Resguardo de Software
  • Resguardo de la base de datos
  • Resguardo de los documentos informáticos

Otros consejos utiles pueden ser:
Respaldar la información en un USB, realizando una copia completa
 de los archivos.
Efectuar los respaldos cada semana en los dispositivos y
 en la memoria.
Ejecutar una práctica de ejercicio una vez al mes ya sea
 por restricción económica o de tiempo.
Llevar a cabo los respaldos a media noche.
Utilizar un disco duro externo de 500gb para almacenar
 información de los demás redundancia.
Utilizar 2 maquinas almacenadotas.Utilizar un CD o DVD para
 respaldar datos financieros los servicios de Internet prestados.
Utilizar el software de respaldo auto jave 1.0 comunications inc.