PLAN DE CONFIGURACION Y

RECUPERACION ANTE DESASTRES PARA

EL SMBD ALCALDIA SAN ANTONIO DEL
SENA

Fabian Munoz Puello

CONTEXTO

El 96% de los datos sustrados durante 2012 provenan de bases de datos, segn un informe de
Verizon (Data Breach). Adems, durante el ao pasado, 242 millones de registros resultaron
potencialmente comprometidos, indica la Open Security Foundation. Se trata de dos preocupantes
datos que la compaa Imperva, especializada en seguridad, recuerda en un informe que ha
elaborado sobre las diez principales amenazas que existen contra las bases de datos y en el que se
pone de manifiesto que stas son el objetivo prioritario para hackers e insiders maliciosos.

En el informe asevera que esto es as debido a que las bases de datos representan el corazn de
cualquier organizacin, ya que almacenan registros de clientes y otros datos confidenciales del
negocio. Y afirma adems que esta vulnerabilidad de las bases de datos mejorara si no hubiera la
actual falta de inversin en soluciones de seguridad adecuadas para protegerlas. Y es que, como
seala IDC, menos del 5% de los 27.000 millones de dlares invertidos en 2011 en productos de
seguridad se destinaron a la salvaguarda de los centros de datos.

ESTAS SON LAS AMENNAZAS MAS COMUNES EN LOS SMBD

PRIVILEGIOS EXCESIVOS E INUTILIZADOS. Cuando a alguien se le otorgan privilegios de

base de datos que exceden los requerimientos de su puesto de trabajo se crea un riesgo
innecesario. Los mecanismos de control de privilegios de los roles de trabajo han de ser
bien definidos o mantenidos.
ABUSO DE PRIVILEGIOS. Los usuarios pueden llegar a abusar de los privilegios legtimos de
bases de datos para fines no autorizados, por ejemplo, sustraer informacin confidencial.
Una vez que los registros de informacin alcanzan una mquina cliente, los datos se
exponen a diversos escenarios de violacin.
INYECCIN POR SQL. Un ataque de este tipo puede dar acceso a alguien y sin ningn tipo
de restriccin a una base de datos completa e incluso copiar o modificar la informacin.
MALWARE Y SPEAR PHISING. Se trata de una tcnica combinada que usan los
cibercriminales, hackers patrocinados por estados o espas para penetrar en las
organizaciones y robar sus datos confidenciales.
AUDITORAS DBILES. No recopilar registros de auditora detallados puede llegar a
representar un riesgo muy serio para la organizacin en muchos niveles.
EXPOSICIN DE LOS MEDIOS DE ALMACENAMIENTO PARA BACKUP. stos estn a menudo
desprotegidos, por lo que numerosas violaciones de seguridad han conllevado el robo de
discos y de cintas. Adems, el no auditar y monitorizar las actividades de acceso de bajo
nivel por parte de los administradores sobre la informacin confidencial puede poner en
riesgo los datos.
EXPLOTACIN DE VULNERABILIDADES Y BASES DE DATOS MAL CONFIGURADAS. Los
atacantes saben cmo explotar estas vulnerabilidades para lanzar ataques contra las
empresas.
DATOS SENSIBLES MAL GESTIONADOS. Los datos sensibles en las bases de datos estarn
expuestos a amenazas si no se aplican los controles y permisos necesarios.
DENEGACIN DE SERVICIO (DOS). En este tipo de ataque se le niega el acceso a las
aplicaciones de red o datos a los usuarios previstos. Las motivaciones suelen ser fraudes
 de extorsin en el que un atacante remoto repetidamente atacar los servidores hasta
que la vctima cumpla con sus exigencias.
LIMITADO CONOCIMIENTO Y EXPERIENCIA EN SEGURIDAD Y EDUCACIN. Muchas firmas
estn mal equipadas para lidiar con una brecha de seguridad por la falta de conocimientos
tcnicos para poner en prctica controles de seguridad, polticas y capacitacin.

Nota: informacin suministrada por: http://www.ticbeat.com/tecnologias/10-grandes-

amenazas-seguridad-bases-datos/

Teniendo en cuenta lo anterior presentaremos una solucin a la seguridad que contrarreste las
fallas comunes de seguridad de nuestra alcalda de SAN ANTONIO DEL SENA.

PLANTAMIENTO DE LA SOLUCION.
En la implementacin del plan de contingencia involucra a cada una de las personas que tengan
acceso a las bases de datos, (administradores de red, administrativos, clientes etc.), para que la
efectividad de esta implementacin sea optima implementaremos inicialmente los siguientes
controles como pasos iniciales:

I. El personal encargado de la administracin de las bases de datos debe estar capacitado en

el manejo de manera profesional del SMBD y el sistema operativo servidor, si es lo posible
certificado por alguna entidad.
II. Los administrativos, y usuarios finales, deben recibir capacitacin de seguridad con
respecto al manejo de la informacin en los computadores y de manera general en su
entorno social, evitando la ingeniera social.
III. Contar con los recursos necesarios para la implementacin del sistema de seguridad.

SEGURIDAD FISICA.

La seguridad fsica del sistema es vital, por ello la implementacin en la sala de servidores debe
cumplir con los siguientes requerimientos que complementen la seguridad fsica.

I. ILUMINACIN Y CLIMATIZACIN DE LA SALA DE SERVIDORES: la iluminacin aunque no

parezca un tema a tratar, hace parte de un tema importante, una correcta iluminacin con
una correcta cantidad de Lumex y ubicada de manera correcta en la sala de servidores
disminuir la cantidad de fuentes lumnicas en la sala (fuentes de corto elctrico), adems
de disminuir la cantidad de instalacin elctrica en la misma.

La climatizacin es unos de los temas menos tomados a la hora de instalar la sala de

servidores, en muchos casos la sala de servidores es tomada a la ligera colocndole como
fuente de climatizacin unidades Mini Split. Para ello se debe tener en cuenta lo siguente.

Calcular la cantidad de calor que suele generar la seccin del servidor. El calor se puede
estimar en unidades trmicas britnicas ( BTU ) o kilovatios ( KW ) . Clculo de la carga
trmica de la sala de servidores multiplicando su longitud por su anchura . Multiplique
esta cifra por 337 . Divida el producto por 3412 para convertirlo en kilovatios . Clculo de
 la carga trmica esperada de todas las ventanas conectadas a la sala de servidores.
Multiplique la longitud y la anchura de cada orientacin sur y ventanas de 870. Divida el
producto por 3412 . Multiplique la longitud y el ancho de todas las ventanas del norte de
165 . Divida el producto por 3412 . Agregue el kilovatio para las ventanas.

Calcular la cantidad de calor que los trabajadores , los equipos del servidor y la iluminacin
de la sala , tendrn que producir . Multiplique el nmero de empleados regulares (en su
caso ) por 400. Divida el producto por 3.412 para obtener kilovatio estimado. Multiplique
la potencia esperada para todos los dispositivos , incluyendo servidores , routers y
switches 3.5 . Multiplique la potencia de toda la iluminacin de la sala 4.25 . Convertir los
datos dividiendo el producto Kilowatt 3412 .

Agregue el Kilowatt prevista para la sala de servidores , las ventanas , los trabajadores , los
equipos y la iluminacin. Anote esta cifra ya que la carga de calor total estimado para la
sala de servidores del centro de datos . Tenga en cuenta que las unidades de aire
acondicionado usados para enfriar la sala de servidores sern capaces de eliminar esta
cantidad de calor. Por ejemplo, si la carga de calor estimado de la habitacin es de 10
kilovatios del servidor , la capacidad combinada total de unidades acondicionado de
refrigeracin de la habitacin debe ser de 10 kW o ms. Buscar y comprar el tamao y la
cantidad de unidades de aire acondicionado d ' aire necesario. Preste atencin a otros
factores, como los niveles de humedad en la habitacin y la direccin del flujo de aire.

Nota: tomado de: http://bueno-saber.com/computadoras/servidores/como-determinar-

las-necesidades-de-climatizacion-de-un-centro-de-datos-sala.php

Teniendo en cuenta los siguiente tendr una sala de servidores optima y con probabilidad
mnima de sobrecalentamiento.

II. INSTALACION ELECTRICA Y RESPALDO CONTRA INCIDENTES ELECTRICOS: La carga

energtica de los servidores debe estar soportada con ups y fuente de alimentacin
regulada segn la RETIE Reglamento Tcnico de Instalaciones Elctricas, ICONTEC Instituto
Colombiano de Normas Tcnicas, NECANSI C1 National Electrical Code, NEMA National
Electrical Manufacturers Association, NFPA National Fire Protection Association, IEC
International Electrotechnical Comisin, UL Underwrites Laboratorios Inc.
Segn lo estipulado en las mismas se cumplir lo siguiente:
1. TUBERIAS: Se usar tubera conduit en PVC garantizada para la conduccin de
cables en instalaciones elctricas y datos incombustible, de alta rigidez mecnica,
resistente al impacto, que se efecten de acuerdo con lo establecido en la Norma
NTC-2050, fabricada bajo las normas ANSI 651 y 651A, Marca PAVCO, COLMENA,
PLASTIMEC TUVINIL.
Los accesorios para la tubera conduit debern ser del mismo tipo y marca de la
tubera. Para estas tuberas se utilizarn accesorios normalizados prefabricados
tales como curvas de 90, terminales con contratuerca y bocines no roscados
(pegados). l liquido limpiador y el cemento sern los indicados por el fabricante.
Tubera conduit galvanizada de acero tipo EMT. Diseada para proteger
conductores elctricos en instalaciones industriales segn la norma ICONTEC NTC-
2050.
 Se usar tubera conduit galvanizada de acero tipo EMT (Electrical Metallic Tubing)
fabricada bajo las normas ANSI C80.3, NTC-105 NTC-103 y UL-797 marca
COLMENA similar cuando la tubera se encuentre a la vista. Sus accesorios
(conectores, curvas y uniones galvanizadas) debern ser del mismo tipo y marca
de la tubera metlica EMT.
Los dobleces sern realizados en campo usando la herramienta adecuada. Se
evitar que la tubera o los mismos soportes queden sujetos a otras tuberas (ya
sean elctricas o de otros sistemas). Su disposicin ser tal, que las tuberas
sigan rutas perpendiculares entre s, tanto en sentido horizontal como vertical.
Se evitarn las rutas diagonales en ambos sentidos. La distancia entre soportes
ser de acuerdo a la tabla 346-12(b) del NEC. Para los ngulos se utilizarn
curvas prefabricadas de 90 y elaboradas por el mismo fabricante de la tubera
(PVC o galvanizada EMT). Las tuberas debern entrar a las cajas de salida
mediante terminales tipo boquilla con su anillo de fijacin, tambin elaborados
(en PVC o galvanizado EMT) por el mismo fabricante. Segn artculos 347-12 del
NEC. Por lo general todo lo referente al uso e instalacin de este tipo de tubera,
se ajustar a lo especificado en los artculos 346 y 347 del NEC titulados Tubo
Metlico Rgido y Tubo Rgido No Metlico respectivamente. Entre caja y caja de
cualquier tipo, no podr haber ms de dos ngulos rectos o su equivalente (180).

2. CAJAS PARASALIDAS. Todas las cajas para salidas de iluminacin etc., debern ser
del tamao suficiente para proveer espacio libre a todos los conductores
contenidos en la caja. Todas las salidas para lmparas, estarn provistas de una
caja octagonal en PVC de 4 excepto donde llegan ms de 3 tubos de para lo
cual se usarn de 4x4 con suplemento, y sern de marca PAVCO, COLMENA,
PLASTIMEC TUVINIL.
3. INTERRUPTORES Y TOMACORRIENTES. Los contactos de los interruptores deben
ser de cobre con capacidad para 15 A., 125 V. Se recomienda la marca Luminex
lnea Ambia Blanca similar. Los tomacorrientes debern ser monofsicos con
polo a tierra, contactos con capacidad para 15 A, 125 V.,
4. CONDUCTORES. Cables de baja tensin. Todos los conductores que se utilicen
sern de cobre electroltico, conductividad de 98%, temple suave, temperatura
mxima 90 grados centgrados, con aislamiento THHN/THWN para 600 voltios,
sobre el cual debern estar debidamente marcados a todo lo largo de su longitud,
el calibre del conductor, su voltaje de aislamiento, su tipo de aislamiento y su
temperatura mxima de operacin.

El cumplimiento de estas normas mnimas de instalacin electrica disminuir un 98% el riesgo de

perdida de datos por fallas en el circuito elctrico y un 82% perdida de datos incendio y
propagacin de las llamas por cableado electrico.
 III. SEGURIDAD Y CONECTIVIDAD

CONECTIVIDAD SERVIDORES-CLIENTES: La conectividad entre servidores y clientes ser cableada

con cable UTP categora 6, esta conexin ser a travs de swicth Cisco. Esto por las
vulnerabilidades presentadas en las redes WIFI.

La red wifi solo ser implementada en para acceso a usuarios temporales, todas las conexiones
tanto cableada como inalmbrica ser controlada por servidores Proxy, control de acceso MAC y
autenticacin de usuarios con active directory, todos los puerto del servidor, Router y Swicth sern
monitoreados por Firewall fsico Inteligente.

El malware y virus sern controlados por antivirus Norton 360 para servidores y clientes, control
con notificacin a los puertos USB de los computadores clientes, adems de bloqueo con
contrasea de puertos USB en los servidores.

IV. BACKUPS
La informacin en el servidor ser respaldada por discos espejos, adems de una copia
colocada en Windows AZURE, que permitir la conexin y respaldo inmediato en caso de
calamidad en la informacin.

V. CONFIGURACION CORRECTA DE BASES DE DATOS. La configuracin de las bases de datos

debe ser controlada, evitar crear usuarios con privilegios innecesarios, adems de que el
privilegio debe ser claramente establecidos sin duplicidad ni ambigedad en el rol.

DAOS

Los posibles daos pueden referirse a: Imposibilidad de acceso a los recursos debido a problemas
fsicos en las instalaciones, naturales o humanas. Imposibilidad de acceso a los recursos
informticos, sean estos por cambios involuntarios o intencionales, tales como cambios de claves
de acceso, eliminacin o borrado fsico/lgico de informacin clave, proceso de informacin no
deseado. Divulgacin de informacin a instancias fuera de la institucin y que afecte su patrimonio
estratgico, sea mediante Robo o Infidencia.

FUENTES DE DAO

Las posibles fuentes de dao que pueden causar la no operacin normal de la compaa son:
Acceso no autorizado: Ruptura de las claves de acceso al sistema computacionales Desastres
Naturales: Movimientos telricos Inundaciones Fallas en los equipos de soporte (causadas por el
ambiente, la red de energa elctrica, no acondicionamiento atmosfrico necesario) Fallas de
Personal Clave: por los siguientes inconvenientes, Enfermedad, Accidentes Renuncias abandono
de sus puestos de trabajo entre otros. Fallas de Hardware: a) Falla en los Servidores (Hw) b) Falla
en el hardware de Red (Switches, cableado de la Red, Router, Firewalls) Anlisis en las fallas en la
Seguridad

ESTRATEGIAS DE RECUPERACIN

La recuperacin de datos se realizar de manera inmediata a travs del disco duro espejo, si es
accesible en el momento, en caso de falla en el disco duro o en la SMBD.

En caso de que la integridad fsica del servidor sea vulnerada o el servidor sea destruido en caso de
una calamidad natural o provocada se obtendr la informacin de manera momentnea desde
Microsoft Azure a travs de internet, el cual me dispone de una copia exacta del servidor ms la
informacin que en el haba 12 horas antes de la calamidad.

COSTO DE LA RECUPERACION. El coste de la recuperacin estar estipulado en la poltica de

recuperacin de desastres, adems del valor mensual de Windows Azure que ser el respaldo final
de informacin en caso de que la integridad fsica de los servidores y la planta, sea destruida por
inundacin, terremoto explosin o cualquier calamidad que se pueda presentar.

ENCARGADO DEL PLAN DE RECUPERACION. Se presenta un listado de las personas responsables

segn cargo de aprobar e iniciar el plan de recuperacin del sistema.

I. Administrador de la Red.
II. Auxiliar administrador.
III. Administrativo encargado de la gerencia.
IV. Alcalde en caso de muerte o inhabilidad de algunos de los anterior presentados.
V. Gobernador en caso de muerte o inhabilidad de algunos de los anteriores presentados.

POLTICAS (NORMAS Y PROCEDIMIENTOS)

Las copias de seguridad sern programadas para que sean realizadas en horas no laborales de la
siguiente manera.

A. Respaldo al disco espejo: este respaldo ser cada 12 horas en el dnde se estipula que se
inicie a las 12:00 pm a 2:00 pm. Y 12:00 am a 2:00 am.
B. Respaldo en Windows Azure ser cada 6 horas y se realizar con actualizaciones parciales
de la informacin, en rangos de 30 min cada una.

Solo se podr detener la actualizacin con autorizacin por escrita del alcalde de san Antonio del
SENA.

CRITERIOS Y PROCEDIMIENTOS DE PRUEBA DEL PLAN

La prueba de recuperacin ser planeadas y simuladas con periodicidad de tres meses, iniciando
al primer da de labores.

Se trabajar con el nuevo sistema de manera controlada verificando las posibles fallas que pueda
presentar el problema.
Las capacitaciones del personal en el nuevo sistema de manejo de bases de datos. Debe ser
implementadas antes de que el sistema entre en marcha.

Luego que todo sea probado, capacitado e implementado se procede a la ejecucin del mismo

APROBACIN FINAL

La aprobacin final ser a cargo del Alcalde de SAN ANTONIO DEL SENA y de los administradores
encargados para este fin