AUDITORÍAS ESPECÍFICAS DATA CENTER...
33
AUDITORÍAS ESPECÍFICAS DATA CENTER CONTINUIDAD DEL NEGOCIO: RECUPERACIÓN DE DESASTRES Y RESPALDOS CRISTIAN ALEXANDER TABORDA COD: 908059 LUIS EDUARDO ESCOBAR COD: 908520 LORENA CONSUELO TORRES COD: 908059 Presentado a: CARLOS HERNAN GÓMEZ GÓMEZ UNIVERSIDAD NACIONAL DE COLOMBIA SEDE MANIZALES ADMINISTRACIÓN DE SISTEMAS INFORMÁTICOS AUDITORÍA II MANIZALES Mayo 25 de 2011
-
Upload
nguyenthien -
Category
Documents
-
view
214 -
download
1
Transcript of AUDITORÍAS ESPECÍFICAS DATA CENTER...
AUDITORÍAS ESPECÍFICAS DATA CENTER
CONTINUIDAD DEL NEGOCIO: RECUPERACIÓN DE DESASTRES Y
RESPALDOS
CRISTIAN ALEXANDER TABORDA COD: 908059
LUIS EDUARDO ESCOBAR COD: 908520
LORENA CONSUELO TORRES COD: 908059
Presentado a: CARLOS HERNAN GÓMEZ GÓMEZ
UNIVERSIDAD NACIONAL DE COLOMBIA SEDE MANIZALES ADMINISTRACIÓN DE SISTEMAS INFORMÁTICOS
AUDITORÍA II MANIZALES
Mayo 25 de 2011
DATA CENTER
CPD
El concepto de Data Center es, hoy en día un término habitual para muchas
personas y empresas, sobre todo relacionadas con el mundo del hosting.
Un Data Center es, tal y como su nombre indica, un “centro de datos” o “Centro de
Proceso de Datos” (CPD). Esta definición engloba las dependencias y los
sistemas asociados gracias a los cuales:
Los datos son almacenados, tratados y distribuidos al personal o procesos
autorizados para consultarlos y/o modificarlos.
Los servidores en los que se albergan estos datos se mantienen en un
entorno de funcionamiento óptimo.
Los primeros Data Centers se diseñaron e implementaron siguiendo las
arquitecturas clásicas de informática de red, en las que los equipos eran
“apilables” en mesas, armarios o racks.
La necesidad de fácil gestión y de optimización del espacio han hecho que se
evolucione hacia sistemas basados en equipos cuyas dimensiones permiten
aprovechar al máximo el volumen disponible en los racks (Equipos “enracables”),
logrando una alta densidad de equipos por unidad de espacio.
Los Data Center iniciales tampoco estaban diseñados para proporcionar
facilidades de red avanzadas, ni los requerimientos mínimos de ancho de banda y
velocidad de las arquitecturas actuales. La rápida evolución de Internet y la
necesidad de estar conectados en todo momento han obligado a las empresas a
requerir un alto nivel de fiabilidad y seguridad, de tal forma que se proteja la
información corporativa y esté disponible sin interrupciones o degradación del
acceso, con el objetivo de no poner en peligro sus negocios, sean del tamaño que
sean. El cumplimiento de estos requisitos, cada día más demandados, es posible
dentro de un Data Center. Igual que un banco es el mejor sitio para guardar y
gestionar el dinero, un centro de datos lo es para albergar los equipos y sistemas
de información.
Los datos almacenados, no son datos estáticos, están en constante movimiento,
se interrelacionan unos con otros y dan como resultado nuevos datos. Su
crecimiento es constante y ello implica no solo que deben estar protegidos
mediante las medidas de seguridad adecuadas, sino también dotados de
estupendos “motores que les permitan moverse ágilmente por las autopistas de la
información”.
El crecimiento exponencial del número de usuarios de los servicios online ha
llevado a las empresas a subcontratar la gestión, mantenimiento y administración
de sus equipos informáticos y de comunicaciones en los Data Center. Esto les
permite centrarse en el desarrollo de su propio negocio y olvidarse de
complejidades tecnológicas derivadas de las características anteriormente
comentadas, así como prestar el servicio sin la necesidad de realizar una inversión
elevada en equipamiento dedicado a este fin.
Un Datacenter o centro de datos si lo traducimos literalmente es una instalación
especializada para brindar facilidades desde hospedaje web de páginas webs
estáticas hasta hospedaje de aplicaciones y diversos servicios de
comunicaciones.
El aspecto físico
Un centro de datos puede ocupar uno o varios cuartos o pisos o todo un edificio
completo, usualmente los servidores usados son servidores 1U o llamados “cajas
de pizza” empotrados en racks de 19”, que usualmente son alineados en celdas
formando un corredor entre ellos. Esto permite el acceso para los servicios
técnicos y por supuestos mejor circulación del aire para el enfriamiento.
El ambiente dentro de un centro de datos está controlado las 24 horas de día:
El aire acondicionado es usado para mantener la temperatura, generalmente en
17 grados Celsius, esto es crucial ya que esta clase de equipo confinado en un
cuarto sin ventilación no sobreviviría un periodo muy largo sin las condiciones
ideales.
Respaldo de energía: este recurso es 100% indispensable, se mantienen plantas
de alto rendimiento para cubrir los apagones, y minimizar el tiempo fuera de línea
o downtime.
Un piso falso que es adecuado para manejar todo el cableado de red y de
electricidad.
Sistemas de alarma para incendios son otro paso usado para contener los riegos
de una catástrofe. Usar agua en equipo eléctrico operacional no es lo mejor para
apagar un incendio. Originalmente el gas halom fue usado para este fin, el uso de
un gas inerte es necesario para expulsar el oxígeno de las salas, Sin embargo
esto fue prohibido en algunos países por el riesgo que representa para la salud.
Las alternativas más recientes son el uso de Aragonite y FM200 e incluso
sistemas de agua ultra pura.
Seguridad física
La seguridad física juega un rol importante, el acceso del personal al sitio es
usualmente restringido a unos pocos. –video cámaras y guardias de seguridad
permanentes son usados para resguardar la información de los clientes.
La infraestructura de la red
Las comunicaciones hoy en día entre Datacenters se basan en el protocolo Ip, el
uso de routers y switches transportan el tráfico entre el Datacenter y el internet.
Algunos de los servidores en el centro de datos son usados para tareas básicas
del personal como uso del internet, intranets, email, etc...
La seguridad de la red está evidentemente desarrollada, con herramientas como:
firewalls, VPN, detección de intrusos así como sistemas de monitoreo son las
mejores armas para mantener su información protegida.
Arquitectura de red
El diseño eléctrico de almacenamiento de archivos, copia de seguridad y
archivo de la redundancia del sistema de control de red
acceso y seguridad de gestión de base de datos
Web Hosting Alojamiento de aplicaciones de distribución de contenido
Control ambiental Protección contra riesgos físicos (incendios,
inundaciones, huracanes)
La gestión de energía
Normas asociados a Centros de Datos Normas ISO y BSBS25999: Continuidad de la actividad comercial/ La gestión de continuidad de la actividad comercial (BCM) se ha concebido para ayudar a las organizaciones a minimizar el riesgo de interrupciones. ISO/IEC 20000: Gestión de Servicios de TI/ Prestación de servicios de TI de gran calidad. ISO/IEC 27001: Seguridad de la información/Protección de la información, el activo más valioso. En 16001: Eficiencia energética/ Comprometidos con el uso eficiente de la energía. Normas y Mejores Prácticas
- LEED
- NFPA
- BICSI
- ASHRAE
- IEEE
Tipos de Auditorías
- Auditorias de Eficiencia.
- Auditorias Electromecánica.
- Auditorías de la Gestión de los sistemas (ISO)
- Auditorías de Riesgo Operacional (Conjunto de Auditorías Anteriores).
Que se tiene en un Data Center:
- Sistema Eléctrico
- Sistemas para prevenir y controlar incendios e inundaciones como drenajes
y extintores.
- Vías de evacuación
- Puertas y pinturas ignífugas (para proteger contra el fuego)
- Aire acondicionado
- UPS (Sistema de alimentación de energía ininterrumpido)
- Pisos y techos falsos
- Instalación de alarmas
- Control de temperatura y humedad con avisos
- Cerraduras electromagnéticas
- Cámaras de seguridad o CCTV (Circuito cerrado de televisión)
- Detectores de movimiento
- Tarjetas de identificación
- Bitácoras de acceso manual y electrónicas
- Botón de apagado de emergencia EPO
Los requerimientos varían entre cada uno, puesto que no son los mismos riesgos
en cada uno además de variar su localización.
PLAN DE AUDITORÍA
En el desarrollo de esta auditoría a Data Center se tiene en cuenta los siguientes
elementos:
1. INVESTIGACIÓN PRELIMINAR
Definimos el esquema de requerimientos técnicos que posee el Data Center
estableciendo una matriz donde se clasificaran el alcance o proyecciones. Se
evaluara la infraestructura como soporte a los servicios de TI alineados al negocio
y valor agregado.
Aspectos a considerar para la auditoría en el centro de datos:
- La infraestructura Física que incluye todo el aspecto físico donde está
ubicado el centro de datos y los sistemas de información.
- Infraestructura de red y telecomunicaciones que permite a otros sistemas y
usuarios comunicarse e intercambia información sin tener acceso físico al
centro de datos, incluye equipos y su interconexión local y remota.
Además se tienen los siguientes elementos:
- Infraestructura
- Cableado
- Red de área local
- Red de área amplia
- Servicios
- Seguridad
2. Identificación y Agrupación de Riesgos
Consta del análisis y evaluación de puntos críticos y puntos de fallas, la
identificación de oportunidades, el diagnóstico y rediseño, a fin de identificar los
riesgos para cada grupo identificado y diseñar instrumentos que permitan evaluar
los aspectos planeados.
3. Evaluación de seguridad
Se determinara si el diseño y crecimiento existentes en la empresa, están dirigidos
a buenas prácticas que optimicen su funcionamiento y que aplique las políticas y
normativas internacionales, impulsando y respaldando el constante desarrollo de
la organización.
4. Diseño de Pruebas
Se determinaran que instrumentos son los adecuados para desarrollar una
auditoría eficaz y eficiente: Técnicas e instrumentos
Fecha: Mayo 25 de 2011
Empresa: FIRETIRE S.A.
Auditores: Cristian Alexander Taborda
Luis Eduardo Escobar Gallo
Lorena Consuelo Torres
Técnica usada: Guía de Auditoría DATA CENTER
Herramienta usada: CheckList
Se tiene iluminación exterior del Data Center, además de señalización del
entorno que identifique la relación de los riesgos.
Se tienen identificados los riesgos ambiéntales en el Data Center y la
distancia de los servicios de emergencia.
Se tiene que las puertas, muros y exteriores son sólidos para proteger los
Data Center.
Se tiene autenticación física al acceso a los dispositivos con apropiado uso
y trabajo.
Se tiene la documentación acerca de las rondas de guardia del edificio y las
funciones del personal de seguridad.
Las áreas sensibles estén protegidas adecuadamente.
La calefacción y los sistemas de aire acondicionado mantienen la
temperatura constante en el Data Center.
Las emisiones de radio afecten o hacen ruido en los sistemas electrónicos
de cómputo al transmitir información.
Hay redundancia en la alimentación eléctrica del Data Center
Existe protección polo a tierra
Las condiciones de energía puedan prevenir una pérdida de datos
Los sistemas de reserva eléctrica proveen la continuidad del flujo eléctrico
durante un apagón o reducción de energía.
Los generadores mantienen unas buenas condiciones de trabajo durante
una pérdida de energía prolongada.
Los sistemas de control protegen eficientemente contra la intrusión física de
ladrones.
Tiene sistema de alarmas para proteger los data center de los riesgos.
Fecha: Mayo 25 de 2011
Empresa: FIRETIRE S.A.
Auditores: Cristian Alexander Taborda
Luis Eduardo Escobar Gallo
Lorena Consuelo Torres
Técnica usada: Guía de Auditoría Para Elementos Específicos del Data Center
Herramienta usada: Entrevista
Auditoría a la Infraestructura
- ¿Dispone de los planos del edificio?
- ¿Cuenta con los diagramas detallados de red, equipos, gabinetes, racks y
conexiones entre ellos?
- ¿Posee los extintores de fuego adecuados en las diferentes áreas del data
center?
- ¿Tiene un plan de mantenimiento y revisión de los extintores de fuego?
- ¿El data center está organizado, libre de obstrucciones, preferiblemente
utilizando un piso falso para cableado?
- ¿Los gabinetes de servidores y racks tiene suficiente espacio para
maniobrar en la sección frontal?
- ¿Las puertas son lo suficientemente anchas y altas?
- ¿Utiliza piso falso para la distribución de cableado de datos, electricidad o
aire acondicionado?
- ¿Los ductos de agua potable, negras y lluvias están lejos del data center?
- ¿Posee Racks y Gabinetes para organizar los componentes del data
center?
- ¿Los gabinetes para organizar los componentes del data center, tiene el
ancho estándar de 19 pulgadas?
- ¿Los gabinetes poseen mecanismo de cerradura?
- ¿Existe suficiente espacio interno para todos los equipos de red que se
instalaran en los gabinetes, posee suficientes conexiones eléctricas y
espacio para redundancia para estos equipos?
- ¿Tienen los equipos en los gabinetes alguna protección contra el apagado
accidental?
- ¿Tiene problemas de filtraciones de aguas por la lluvia en el data center?
- ¿El data center tiene ventanas al exterior?
- ¿El techo del data center soporta un peso de al menos 25 libras por pies
cuadrados?
- ¿Cada piso/edificio/sección de la planta posee un gabinete de distribución
de cables?
- ¿Están los gabinetes de distribución aislados y en un lugar seguro?
- ¿Existe suficiente espacio para equipo adicional al utilizado actualmente en
caso de crecimiento en cada gabinete de cableado?
- ¿Posee algún mecanismo de monitoreo en los cuartos de cableado o
gabinetes que detecte la falta de energía eléctrica?
- ¿La capacidad del UPS instalado es suficiente para soportar todos equipos
en el data center?
- ¿Posee un generador eléctrico que soporte a su data center en caso de
corte de energía eléctrica?
- ¿El generador eléctrico se activa automáticamente en caso de falla
eléctrica?
- ¿Cuánto tiempo puede el generador dar soporte al data center en caso de
fallo y afectar esto a la disponibilidad?
- ¿Tiene algún plan de mantenimiento para los equipos de respaldo
eléctrico?
- ¿Las instalaciones eléctrica cuentan con la adecuada polarización a tierra
en base a la carga requerida por el data center?
- ¿El data center posee respaldo por UPS en cada circuito eléctrico?
- ¿Cuenta con redundancia de UPS en el data center?
- ¿Cuenta con los planos eléctricos del data center certificados por un
Ingeniero eléctrico?
- ¿Posee un sistema para detección de humo en el data center?
- ¿Tiene algún plan de prueba de los censores instalados en el data center?
- ¿Posee un sistema de alerta en caso de fallo en la temperatura del data
center?
- ¿Tiene algún sistema de control de humedad para garantizar desde 40% al
55%?
- ¿Dispone de un sistema de aire acondicionado en el data center?
- ¿El sistema de aire acondicionado cuenta con la suficiente capacidad para
garantizar una temperatura constante y distribuida de 20C (68 F) hasta 25C
(77F) en todo el data center?
- ¿Cómo garantiza que la temperatura del data center sea el adecuado y
constante?
- ¿Se ha contemplado en el diseño del data center el flujo de aire frío y aire
caliente?
- ¿El data center cuenta con un sistema de luces de emergencia?
- ¿La iluminación tiene un mínimo?
- ¿Se dispone de más de una entrada para el acceso al data center?
Auditoría al cableado
- ¿El cableado de datos y de voz están por separado?
- ¿Cuál es el tipo de cableado utilizado para datos?
- ¿Cuál es el tipo de cableado utilizado para voz?
- ¿Estas identificados los diferentes tipos de cableados en el centro de
datos?
- ¿Existen muchos tipos de interferencias, algunas son potenciales y no
identificadas por favor indique cuál de las que se mencionan a continuación
aplican para el centro de datos: a) cables de voltaje en paralelo a los de
datos b) lámparas fluorescentes cercanas c) grúas de alta capacidad d)
maquinaria con voltajes de ejecución arriba de los 330VA d) Ninguna de las
anteriores?
- ¿Tiene ordenadores de cables y paneles de conexión, para sus cables de
datos y voz?
- ¿Comprueba periódicamente que los cables no tengan algún tipo de
defecto, como torceduras, etc.?
- ¿Se utiliza Fibra Óptica para conectar entre pisos, edificios, etc. Para con el
centro de datos?
- ¿Está al límite del porcentaje de utilización de los elevadores de cables y
paneles de conexión en el centro de datos?
- ¿Está al límite del porcentaje de utilización de los paneles de conexión en
los gabinetes?
- ¿Los toma corrientes que van a la pared cumplen con la distancia correcta
del piso. 30 cms?
- ¿Posee un sistema estándar de identificación de cableado WAN y LAN?
- ¿El cableado actual está acorde a los estándares establecidos?
- ¿Posee las certificaciones de los cableados de fibra óptica existentes?
- ¿Posee las certificaciones de los cableados de cobre existentes?
- ¿Todos los segmentos existentes son Ethernet?
- ¿La conexión de respaldo sigue una ruta diferente a la ruta de la conexión
principal?
Auditoria para la Red LAN
- ¿Dispone de las ubicaciones y distancias de los switches respecto al data
center?
- ¿Dispone de las marcas, modelos, versión de software, configuraciones y
capacidades de cada uno de los switches?
- ¿Cuenta con los diagramas físicos de conectividad y lógico de la topología,
que incluyan: a) Localización de los dispositivos de red b) VLAN c) RUTEO
d) IP de SUB REDES e) Redundancia?
- ¿Posee políticas de conectividad entre los dispositivos de la arquitectura de
red?
- ¿Dispone de la cantidad de puertos utilizados y no utilizados de los
equipos?
- ¿Dispone de UPS o Generador Eléctrico en caso de una ausencia eléctrica
para los equipos básicos y de red?
- ¿Dispone de fuente redundante de voltaje para los equipos básicos y de
red?
- La arquitectura de red con la que cuenta administra los siguientes servicios:
a) NETBIOS b) MAIL c) VoIP d) VIDEO CONFERENCIA e) HTTP.
- ¿Dispone de los dispositivos de red adecuados para administrarlos?
- Indique que tipo de redes inalámbricas están implementadas: a) Redes
inalámbricas de área personal WPAN b) Redes inalámbricas de área local
WLAN c) Redes inalámbricas de área metropolitana WMAN d) Ninguna red
inalámbrica
- Cuáles de las siguientes encriptaciones están habilitadas en sus redes
inalámbricas : a) WEP b) WPA c) WPA2 d) RADIUS e) OTRA d) NINGUNA
- ¿Se efectuaron mediciones de distancias y pruebas de señal para la
ubicación de los Wireless AP?
- ¿Es conocida la capacidad de cuantos equipos de la red son soportados
por cada Wireless AP?
- ¿Se cuenta con switches pasivos de respaldo para la conexión de acceso
de usuarios finales?
- ¿A nivel de distribución se cuenta con switches y conexiones redundantes?
Auditoría a la Red WAN
- ¿Los equipos de WAN son administrados por un proveedor externo?
- ¿Quién le administra el servicio de enlace de datos: Ancho de Banda,
Desempeño y Fallas?
- ¿Quién le administra el servicio de voz sobre IP?
- ¿Se ha considerado el ancho de banda para utilizar video conferencias?
- ¿Quién le administra el servicio de video conferencias?
- ¿Qué protocolos de ruteo utiliza en su red?
- ¿Tiene documentación de las tablas de ruteo, IP, redes y configuración de
los equipos de ruteo?
- ¿Posee algún enlace redundante con otro Proveedor de servicios de
Internet (ISP)?
- ¿Qué tipo de redundancia posee en los enlaces de WAN si tiene más de un
enlace?
- ¿Tiene algún mecanismo de monitoreo del ancho de banda y latencia de
los enlaces WAN en tiempo real?
- ¿Se tienen o ha tenido problemas frecuentes con los enlaces actuales de
los ISP?
- ¿Los router en su LAN poseen soporte para VLAN, para separar redes y
disminuir el broadcast?
- ¿Los niveles de uso de memoria y CPU de los routers están por debajo del
75%?
- ¿Quien Administra los Firewalls de su organización?
- ¿Cuenta con la documentación de las reglas establecidas en los Firewalls?
- ¿Cuenta con algún mecanismo para limitar el acceso a Internet?
- ¿Tiene alguna política de acceso al servicio de Internet?
- ¿El ancho de banda utilizado por sus enlaces soporta todos los servicios
WAN?
- ¿Se tiene redundancia para el firewall?
- ¿Los enlaces de los ISP han sido instaladas por rutas diferentes?
Auditoria de Servicios de Red
- ¿Se cuenta con un diagrama de la topología de DNS que está utilizando la
red?
- ¿Cuenta con un servidor DNS Interno?
- ¿Si cuenta con un nombre de dominio público, quien le administra el DNS?
- ¿Se tiene la documentación sobre todas las redes y sub redes en su
organización?
- ¿Las redes actuales consideran suficientes direcciones para el crecimiento
de la organización?
- ¿Se está utilizando una red o subred en el rango de las reservas para redes
privadas?
- ¿El rango de redes asignado es suficiente para soportar la telefonía IP?
- ¿Se utiliza un servidor DHCP para distribuir las direcciones de red?
- ¿Se tiene en la documentación la configuración de direcciones para DHCP
y registro de las reservas de direcciones de red?
- ¿Tiene un servidor dedicado para el servicio de DHCP o es utilizado para
otros servicios simultáneamente?
- ¿Los servidores utilizan el servicio de DHCP o es configuración estática?
- ¿Tienen algún mecanismo para balancear la carga del DHCP?
- ¿Utiliza el servicio de directorio en su red?
- ¿Quien Administra el servicio de directorio?
- ¿Dispone de un servidor de correo dedicado?
- ¿Dispone de un servidor de respaldo para el correo?
- ¿El servidor utilizado para correo provee algún servicio adicional en la red?
- ¿Quién le Administra el software de servicios de correo?
- ¿Se cuenta con algún mecanismo para prevenir el spam?
- ¿Cuenta con un plan de monitoreo de los equipos que brindan servicios en
la red?
- ¿Se dispone de alguna redundancia para el servicio DNS?
- ¿Dispone de redundancia para el servicio de directorio?
Auditoria a la Seguridad
- ¿Tiene una política de control de acceso al data center?
- ¿Posee una bitácora de ingreso del personal al data center?
- ¿Dispone de un sistema de alarma, control o monitoreo del personal que
ingresa al data center?
- ¿Tiene alguna política de acceso a los cuartos de comunicaciones o
gabinetes ubicados en las plantas de la organización?
- ¿Cuenta con políticas de responsabilidades y obligaciones de las personas
que administran el data center?
- ¿Cuándo un Proveedor o personal externo hace uso de las instalaciones
del data center, se le hace saber sus obligaciones, limitaciones y
responsabilidades y pasen por las políticas de control de acceso?
- ¿Él data center se encuentra en un perímetro de seguridad que restrinja el
acceso, ya sea puertas, tarjetas de control o una recepción?
- ¿Todas las políticas de seguridad que utiliza en su empresa cuentan con el
respaldo de la gerencia general?
- ¿Se cuenta con un control para velar que las políticas de seguridad se
estén cumpliendo?
- ¿Dispone de contratos, duración, términos y condiciones, aspectos
financieros como financiamientos, garantías, deprecación y de la legalidad
en la infraestructura de activos?
- ¿Los diferentes departamentos en su organización y él data center se
encuentran administrativamente separados con redes virtuales privadas
(VLAN)?
- ¿Cuenta con un inventario detallado de todo el equipo en su data center y
de comunicaciones?
- ¿Utiliza Firewalls para la protección de la red interna?
- ¿Cuenta con algún software para detección de Intrusos?
- ¿Utiliza un sistema de contraseñas fuertes para el acceso a todos los
equipos, tanto de comunicaciones como de usuario final?
- ¿Periódicamente notifica o capacita a todo el personal sobre los riesgos y
nuevas amenazas existentes y como solucionarlas?
- ¿Elimina las contraseñas del personal que ya no trabaja en su
organización?
- ¿Tiene una política de cambio periódica de contraseñas en todos los
equipos tanto del data center y en toda la organización?
- ¿Si cuenta con redes inalámbricas estas tiene el mecanismo más seguro
para utilizar esta red?
- ¿Utiliza VPN para el acceso remoto a su red?
- ¿Tiene algún control implementado para verificar periódicamente los
factores de vulnerabilidad en su data center?
- ¿Los servidores en el data center cuentan con protección actualizada
contra virus informáticos?
- ¿Cuenta con un detalle de software instalado en los equipos del data
center?
- ¿Se cuenta con un plan de respaldo al menos diario de todos los datos de
los servidores que utiliza la organización?
- ¿Se tiene un plan control y pruebas de los respaldos que se realizan en el
data center?
- ¿Los procedimientos, controles y actualizaciones de seguridad son
revisados y probados antes de su implementación?
- ¿Se cuenta con un control y monitoreo de los sucesos, alertas del registro
de los servidores del data center?
- ¿Se utilizan mecanismos de administración remota de los equipos en el
data center?
- ¿Cuenta con un plan de contingencia en caso de desastres?
- ¿Tiene un Respaldo de Datos y Configuraciones en un lugar diferente
de las instalaciones de la organización?
CREACIÓN DE RESPALDOS, RECUPERACIÓN DE DESASTRES Y
CONTINUIDAD DEL NEGOCIO
La amenaza de desastres en las organizaciones es constante y permanente sea
por estar ubicada en una zona con riesgo de daño natural o humano, por lo
anterior es indispensable que las empresas tengan establecido de forma explícita
un plan de actividades a realizar después de que ocurran los desastres con el
objetivo de normalizar lo más pronto posible y sin mayores contratiempos las
labores de la empresa.
Este plan se denomina comúnmente Plan de Recuperación ante Desastres
(Disaster Recovery Plan), este plan de debe contener como minimo las acciones a
realizar en caso de catástrofes relacionadas con:
Fuego
Fallas de Energía
Ataque Terroristas
Interrupciones organizadas o deliberadas
Sistemas y/o fallas de equipo
Error humano
Virus informáticos
Cuestiones legales
Huelga de empleados
Esta protección de los datos se crea teniendo en cuenta la cantidad de datos a
salvaguardar y el grado de importancia de los mismos. Además se debe evaluar la
recuperación de desastres, la administración de informes y del nivel de los
servicios.
También se debe evaluar y planificar la forma en que se va a realizar la migración
desde los respaldos hasta los nuevos repositorios empresariales y la recuperación
de forma rápida de las redes.
Además se deben haber realizado pruebas sobre este plan de recuperación de
desastres con el objetivo de evaluar su eficacia.
Un plan de respaldo pierde su utilidad sin un plan de recuperación de desastres.
Las siguientes son las fases del plan de recuperación de desastres:
“Los eventos que denotan posibles desastres
Las personas en la organización que tienen la autoridad para declarar un
desastre y por ende, colocar el plan en efecto
La secuencia de eventos necesaria para preparar el sitio de respaldo una
vez que se ha declarado un desastre
Los papeles y responsabilidades de todo el personal clave con respecto a
llevar a cabo el plan
Un inventario del hardware necesario y del software requerido para
restaurar la producción
Un plan listando el personal a cubrir el sitio de respaldo, incluyendo un
horario de rotación para soportar las operaciones continuas sin quemar a
los miembros del equipo de desastres
La secuencia de eventos necesaria para mover las operaciones desde el
sitio de respaldo al nuevo/restaurado centro de datos”
Un buen nivel de detalle es esencial porque cuando sucede la emergencia el plan
de detalle suele ser lo que dictamina los pasos a seguir ante el desastre. Además
se deben guardar varias copias del plan en distintos sitios y de fácil acceso para
evitar su perdida y la demora en su implementación respectivamente. Inclusive se
pueden guardas estas copias en los hogares de algunos empleados de confianza
de las organizaciones o de los mismos gerentes.
Se deben realizar evaluaciones periódicas para identificar que falencias u
obsolescencias tiene el plan. Estas evaluaciones se llevan a cabo siguiendo paso
por paso y de forma detallada dicho plan. Lo anterior implica “ir al sitio de respaldo
y configurar el centro de datos temporal, ejecutar las aplicaciones temporalmente y
reactivar las operaciones normales después de que el "desastre" termine”; aunque
no implica “llevar a cabo en un 100% las tareas del plan si se realiza lo
relativamente máximo posible, es decir implementando aplicaciones o sistemas
para reubicarlos con las condiciones de respaldo, se coloca en producción durante
un periodo de tiempo y se lleva a operación normal al final de la prueba”.
Las revisiones tienen que realizarse en periodos cortos de tiempo (se recomienda
máximo tres meses) pues las empresas y sus datos son cambiantes, por lo que
fácilmente el plan de recuperación de desastres puede caer en la obsolescencia,
lo que sería inclusive más peligroso que no tener un plan.
En el plan de recuperación de desastres se debe indicar el sitio de respaldo, es
decir, el sitio donde se va a instalar el centro de datos y donde se realizaran todas
las operaciones. Este sitio de respaldo comúnmente se clasifica en tres
categorías:
Sitio de respaldo frio: Es cuando se tiene establecido el lugar donde se van
a instalar los elementos necesarios para el normal funcionamiento del
centro de cómputo. Elegir esta opción implicaría que para restablecer las
operaciones se instalen en el sitio los equipos de hardware y el software
necesario y posteriormente ingresar la información desde los respaldos.
Esta opción es económica porque el sitio no se adecua previamente pero
después del desastre es muy lento el restablecimiento del servicio.
Sitio de respaldo tibio o templado: Además de tener establecido el edificio
en que se van a restaurar las operaciones, este lugar se adecua con el
hardware necesario. En el momento posterior al desastre se debe
transportar los últimos respaldos hasta el lugar y realizar las
configuraciones necesarias.
Sitio de respaldo caliente: Se tiene establecido el edificio con una imagen
espejo del centro de cómputo principal. En el momento posterior al desastre
solo se deben actualizar los datos de respaldo y las operaciones quedarían
restablecidas es un tiempo mínimo. Por todo lo que implica sostener un
centro de cómputo usualmente es la opción más costosa.
Cada empresa decidirá qué tipo de sitio utiliza pues cada una tiene sus ventajas y
desventajas. Se debe buscar un equilibrio entre la rapidez del restablecimiento de
las operaciones y la economía de la organización.
Dependiendo que sitio de respaldo haya seleccionado se deberá incluir en el plan
la forma como se adquirirá el hardware y el software, pues si se ha seleccionado
un sitio de respaldo frio se deben identificar explícitamente que elementos se van
a adquirir y de donde van a ser comprados. Puede ser una buena opción
establecer acuerdos con empresas distribuidoras de hardware y software para que
en caso de desastre haya una rápida respuesta por parte de estos entes.
Sin embargo para seleccionar el tipo de sitio de respaldo se puede escoger entre
tres opciones:
Tercerización de la selección y acondicionamiento de este sitio: Es la mejor
opción en cuanto a seguridad y rapidez pero también es la opción más
costosa. Es alineada con la tendencia actual de subcontratar procesos no
nucleares.
Otras sedes o edificios pertenecientes a la organización: Es una opción
muy económica porque el lugar pertenece a la empresa; pero los costos se
incrementan cuando se tiene en cuenta que debe estar acondicionada y se
le debe realizar mantenimiento periódico.
Convenio con otra empresa para compartir sus centros de cómputo en
caso de desastre: Consiste en acordar con otra empresa aliada para que
en caso de que mi centro de cómputo sufra un desastre, pueda restablecer
mis operaciones lo más pronto posible en el centro de cómputo de dicha
empresa y viceversa. Es una opción muy económica pues no se adquiere
hardware ni software, pero no es conveniente cuando se desea que las
operaciones funcionen desde allí por un periodo largo de tiempo, porque
puede ocasionar conflictos entre los empleados de la empresa anfitriona
que obviamente no interrumpen sus actividades cotidianas.
Como se expuso anteriormente la decisión de qué tipo de sitio utilizar y en que
modalidad adquirirlo se debe tomar en base a las circunstancias económicas y las
necesidades de la organización.
Además de lo anterior el plan de recuperación de desastres debe evaluar la forma
en que va a estar comunicado el centro de cómputo de respaldo con el resto de la
organización, pues de nada sirve un centro de cómputo funcionando
perfectamente si no le puede brindar su información al resto de la organización.
Después de que se determine la normalidad en la centro de cómputo principal se
debe hacer una transición que no afecte los procesos del departamento. Para esto
se debe acondicionar el sitio principal con el hardware y software necesarios para
posteriormente migrar la información de los respaldos y normalizar totalmente las
operaciones y los procesos del área.
Para que tenga sentido un plan de recuperación de desastres es obligatorio tener
respaldos (backups) actualizados de toda la información del departamento.
Los respaldos son copias de la información que se realiza de forma periódica y
que se guarda en otro lugar alejado de los edificios de la organización. El periodo
de tiempo entre las copias debe ser lo menor posible pues en una empresa puede
cambiar rápidamente la información almacenada.
Además estas copias se deben guardar en lugares distantes de la planta física de
la empresa, pues si ocurre algún desastre en el edificio de la empresa se dañarían
los datos originales y los de respaldo perdiéndose toda la información. Por lo
anterior se recomienda guardar los respaldos en otros edificios, usualmente son
ubicados en los hogares de los gerentes de la empresa.
Cuando ocurre un desastre se ejecuta el plan de recuperación de desastres y una
vez establecido el centro de cómputo temporal se debe copiar la información de
los backups, para esto los respaldos deben estar protegidos pero disponibles en
cualquier momento.
Con lo anterior se garantiza integridad y disponibilidad de la información aun en
situaciones tan adversas como un desastre.
Sin embargo, la utilización del plan de recuperación de desastres y de los
respaldos puede ser reducida si se ha implementado en la organización una
Planeación de continuidad del Negocio (BCP) que es un plan que busca “prevenir
interrupciones que afecten el desempeño de las actividades normales del
negocio”, pero si un evento no puede ser evitado el BCP trata de minimizar el
impacto (duración y económico).
Esta Planeación de Continuidad del Negocio se realiza con base en cinco fases:
Definir estrategia: Identificar los posibles riesgos que tiene la organización.
Análisis de impacto: Determinar qué impacto tienen los riesgos
identificados en la anterior fase. Se establece una comparación entre la
probabilidad de que se presente el desastre y el grado de impacto que
tendría sobre los procesos de la organización.
Estrategia de recuperación: Se definen que estrategias se van a
implementar con el objetivo de restablecer las operaciones del negocio
cuando ocurra el desastre.
Diseño y desarrollo del Plan: Se define qué hacer ante la posibilidad de
que ocurra algún desastre. Debe ser detallado y bien documentado donde
se exponga claramente que hacer para recuperar los sistemas y
restablecer los procesos críticos.
Pruebas y Mantenimiento: Se debe probar que le plan funciona, para
establecer las modificaciones al mismo. Para cumplir con este objetivo se
utilizan distintas metodologías como :
o Discusión en mesa redonda (tabletop): Reunir a todos los
involucrado y revisar el plan.
o Ensayo (walkthrough): Simulación que permite identificar que los
involucrados conozcan el plan.
o Interrupción total: Interrumpir todos los servicios y procesos de
forma intencional y poner en práctica el plan.
Estos planes y respaldos siempre buscan la solidez de las empresas y la
supervivencia inclusive ante los desastres. De la realización de los mismos
depende el éxito o el fracaso del negocio.
Plan de Continuidad del Negocio
Es el conjunto de procedimientos y estrategias definidos para asegurar la
reanudación oportuna y ordenada de los procesos del negocio generando un
impacto mínimo o nulo ante una contingencia.
“El objetivo general de un BCP es establecer las estrategias y procedimientos que
deben ser implementados por un equipo de individuos que provee
direccionamiento, soporte, equipamiento, metodologías y estándares para
garantizar la continuidad de las operaciones del negocio”
Que se evalúa en la Continuidad del Negocio:
1. Inicio y Administración del Proyecto
2. Evaluación y Control de Riesgos
3. Análisis de Impacto al Negocio (BIA)
4. Selección y Desarrollo de Estrategias de Continuidad
5. Respuesta y Operaciones de Emergencia
6. Desarrollo e Implementación Planes de Continuidad
7. Programas de Concientización y Entrenamiento
8. Prueba, Ejercitación y Mantenimiento de los Planes de Continuidad
9. Comunicación de Crisis
10. Coordinación con Autoridades Públicas
Estándares para BCP
- DRI (Disarter Recovery Institute International)
- (ISC)2 International Systems Security Certification Consortium (Certificación
CISSP).
- ISO 17799
- BCI (Business Continuity Institute)
- ISACA
- NIST
- FEMA
- HIPPA
- ITIL
PLAN DE AUDITORÍA
1. Investigación preliminar
Se debe establecer la existencia de respaldos o backups en la organización. Si
existen estos respaldos se deben evaluar su cumplimiento con los estándares,
es decir, si se actualizan con frecuencia, si están ubicados en lugares
estratégicos y accesibles.
Una vez se ha determinado la existencia de respaldos de la información se
procede a determinar si se ha creado una planeación para la continuidad del
negocio. Este plan se debe haber elaborado de forma explícita y se le deben
haber realizado diversas pruebas.
Además de lo anterior también se debe considerar la existencia de un plan de
recuperación de desastres. Si existe este plan se debe determinar cómo se
realizó la selección del sitio de respaldo y que modalidad utilizaron para
conseguirlo. También se analiza la forma como se planea restablecer las
operaciones en el área una vez pasado el desastre.
En resumen se van a considerar tres aspectos:
La existencia y calidad de los respaldos
Plan de continuidad del Negocio (BCP)
Plan de recuperación de desastres
2. Investigación y agrupación de riesgos
Se identifican los puntos clave en cuanto a los planes de continuidad y de
recuperación y la creación y actualización de los backups. Para determinar lo
anterior se establecen instrumentos para determinar el grado de madurez que
tiene la empresa.
3. Evaluación de seguridad
Se determinará si los planes realizados cumplen con los lineamientos de la
empresa y con las normativas gubernamentales que se han establecido para la
continuidad del negocio y la rápida respuesta a los desastres. También se
evaluará si los respaldos cumplen con las normas y sugerencias
internacionales, pues de lo anterior depende la supervivencia de la empresa.
Además se establecerá que siempre impulsen el bienestar, desarrollo y
evolución de la empresa
4. Diseño de pruebas
Establecimiento de las técnicas y metodologías para evaluar lo anteriormente
expuesto. De esta forma la auditoria se realizara cumpliendo con los objetivos
deseados.
Fecha: Mayo 25 de 2011
Empresa: FIRETIRE S.A.
Auditores: Cristian Alexander Taborda
Luis Eduardo Escobar
Lorena Consuelo Torres
Técnica usada: Guía de Auditoría Plan de Recuperación de Desastres y
respaldos
Herramienta usada: CheckList
Existen backups de la información.
Los backups son actualizados contantemente.
Los respaldos tienen alta disponibilidad en caso de que se deban
utilizar.
Los respaldos se encuentran en diferentes lugares.
Los respaldos se encuentran en lugares accesibles rápidamente.
Los respaldos que se realizan son los apropiados para el tipo de sistema
que se tiene.
Los backups pueden soportar el negocio por su cuenta.
El plan de recuperación de desastres existe de forma explícita y formal.
El plan es conocido y comprendido por los empleados clave de la
organización.
Se les ha indicado a los empleados los roles que interpretarían en el
restablecimiento de las operaciones en caso de desastre.
El plan de recuperación de desastre es actualizado.
Se le realizan pruebas al plan para determinar que actualizaciones son
requeridas.
Se han establecido convenios con los vendedores y proveedores en
caso de que ocurra un desastre se tenga prioridad para con la empresa.
El plan de recuperación de desastres contempla todos los posibles
riesgos más probables y sus consecuentes escenarios.
Fecha: Mayo 25 de 2011
Empresa: FIRETIRE S.A.
Auditores: Cristian Alexander Taborda
Luis Eduardo Escobar
Lorena Consuelo Torres
Técnica usada: Guía de Auditoría Plan de Recuperación de Desastres y
respaldos
Herramienta usada: Entrevista Gerente
¿Tiene respaldos de la información?
¿Tienen un plan de recuperación de desastres?
¿Cuál es el grado de madurez que tiene la empresa al poseer un sitio para
las copias de seguridad?
¿Bajo qué paramentos ha seleccionado el sitio?
¿Con qué modalidad ha contratado el sitio?
¿Realizan pruebas al plan?
¿Qué pruebas realizan y con cuanta periodicidad?
Fecha: Mayo 25 de 2011
Empresa: FIRETIRE S.A.
Auditores: Cristian Alexander Taborda
Luis Eduardo Escobar Gallo
Lorena Consuelo Torres
Técnica usada: Guía de Auditoría Continuidad del Negocio
Herramienta usada: Entrevista
Revisión del Plan de Continuidad del Negocio (BCP)
- Evaluación de los Resultados
- Evaluación del Sitio de Almacenamiento Interno
- Evaluar la Seguridad del Sitio Alterno
- Revisión de Contratos y Cobertura de Seguros
1. Se planea la continuidad del negocio en donde se mira:
Las necesidades y siguiente comunicación de continuidad del negocio
La visión de la alta gerencia frente a BCP
Desarrollo de actividades de implementación de BCP
2. Se hace evaluación de Riesgos
En donde se identifiquen las pérdidas potenciales la probabilidad y su
impacto
Se identifican controles y medidas para prevenir o mitigar el efecto de las
pérdidas potenciales
- Protección física
- Protección lógica
- Localización de activos
Se evalúan, seleccionan y utilizar apropiadas metodologías y herramientas
de análisis de riesgos, cuáles.
Se identifican e implementan las actividades de recolección de información
Se evalúa la efectividad de los controles y medidas
3. Verificar los stakeholders del plan, conocimiento de los mismos sobre los
acuerdos de nivel de servicio (SLA) del plan de continuidad y existencia de
herramientas para la medición del SLA
4. Verificación de los procesos de transferencia de conocimiento y
entrenamiento del recurso humano frente a los procesos de continuidad y
recuperación.
5. Verificación de los resultados y ajustes para el proceso de simulación de
una amenaza enfocada a un área específica del departamento de TI y/o de
las áreas funcionales de la compañía
- Evaluación de cumplimiento de los procedimientos diseñados
- Evaluación de efectividad en la restauración de las operaciones del
negocio
6. Evaluación de operación de infraestructura requerida para la operación de
la contingencia
7. Verificación de los procesos de actualización y mantenimiento permanente
del BCP. (Roles, responsabilidades, controles y registros)
8. Verificación de métricas, a nivel de desempeño de los servicios para cliente
externo e interno. Validar el nivel de alineación de los indicadores con los
SLAs y con la estrategia de negocio, así como su interrelación.
http://www.lawebera.es/alojamiento-web/que-es-un-data-center.php
http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-isa-es-4/s1-disaster-recovery.html
http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-isa-es-4/s1-disaster-recovery.html
