ALUMNO: SANTIAGO TULMO

*

*

*Una política de seguridad informática es una forma de

comunicarse con los usuarios, ya que las mismas establecen

un canal formal de actuación del personal, en relación con los

recursos y servicios informáticos de la organización.

*

*Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica.

*Objetivos de la política y descripción clara de los elementos involucrados en su definición.

*Responsabilidades por cada uno de los servicios y recursos informáticos aplicado a todos los niveles de la organización.

*Requerimientos mínimos para configuración de la seguridad de los sistemas que abarca el alcance de la política.

*Definición de violaciones y sanciones por no cumplir con las políticas.

*Responsabilidades de los usuarios con respecto a la información a la que tiene acceso.

*

* Es importante que al momento de formular las políticas de seguridad informática, se

consideren por lo menos los siguientes aspectos:

* Efectuar un análisis de riesgos informáticos, para valorar los activos y así adecuar las

políticas a la realidad de la empresa.

* Reunirse con los departamentos dueños de los recursos, ya que ellos poseen la

experiencia y son la principal fuente para establecer el alcance y definir las violaciones

a las políticas.

* Comunicar a todo el personal involucrado sobre el desarrollo de las políticas, incluyendo

los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de

seguridad.

* Identificar quién tiene la autoridad para tomar decisiones en cada departamento, pues

son ellos los interesados en salvaguardar los activos críticos su área.

* Monitorear periódicamente los procedimientos y operaciones de la empresa, de forma

tal, que ante cambios las políticas puedan actualizarse oportunamente.

* Detallar explícita y concretamente el alcance de las políticas con el propósito de evitar

situaciones de tensión al momento de establecer los mecanismos de seguridad que

respondan a las políticas trazadas.

*Respaldo Completo ("Full"): Guarda todos los archivos que sean

especificados al tiempo de ejecutarse el respaldo. El archive bit es

eliminado de todos los archivos (o bloques), indicando que todos los

archivos ya han sido respaldados.

* Respaldo de Incremento ("Incremental"): Cuando se lleva acabo un

Respaldo de Incremento, sólo aquellos archivos que tengan el archive

bit serán respaldados; estos archivos (o bloques) son los que han sido

modificados después de un Respaldo Completo. Además cada Respaldo

de Incremento que se lleve acabo también eliminará el archive bit de

estos archivos (o bloques) respaldados.

* Respaldo Diferencial ("Differential"): Este respaldo es muy similar al

"Respaldo de Incremento" , la diferencia estriba en que el archive bit

permanece intacto.

*Es necesario encontrar un compromiso

marcando máximos en los costes, y

priorizando los backups de los recursos

más críticos.

*Cada proyecto o plataforma tiene sus

propias necesidades que es necesario

definir para establecer la política. Para

ello, es útil:

*Diferenciar entre

distintos entornos (preproducción, desarrollo,

test, producción, etc.)

*Determinar los costes de las posibles pérdidas de

datos

*El tiempo que se tardaría en la recuperación

*Valorar los recursos disponibles (hardware,

velocidad de la red, discos remotos, etc.)

*Analizar qué es imprescindible copiar y qué no.

*

*Un aspecto importante de seguridad a la hora de

establecer una política de backups es dónde se

van a guardar las copias de seguridad.

*Esta practica consiste en mover a otra localización

periódicamente una copia completa de los datos,

por ejemplo una vez al mes. Esto es habitual

cuando el soporte físico es en cinta.

*

*El objetivo final de un backup es poder restaurarlo

en caso de pérdida de los datos. Por lo

tanto, tener presente la restauración a la hora de

definir una política de backups o escoger una

herramienta es clave. Para ello, es importante

haber decidido previamente (en la gestión de

riesgos) los siguientes puntos:

*RTO (Recovery Time Objective)

*RPO (Recovery Point Objective)

*

*Las herramientas nos permiten implementar la

política de backup. Dada la variedad de

plataformas, se han creado muchísimas

herramientas que actúan a diferentes niveles.

*

*Con la infinidad de herramientas disponibles, la

elección puede ser complicada. Para simplificar la

búsqueda y reducir las opciones, es imprescindible

definir las necesidades propias y lo que ofrecen las

soluciones para encontrar la herramienta que

mejor las cubra. Algunas cuestiones que pueden

ayudar en la elección de una herramienta son las

siguientes:

*Instalación: ¿Está paquetizada o es necesario

compilar? ¿Es fácil de instalar? ¿Tiene requerimientos

especiales?

*Configuración y mantenimiento: ¿Es fácil de

mantener? ¿Es capaz de implementar la política?

¿Cuánto tiempo de aprendizaje requiere? ¿Tiene

interfaz gráfica?

*Restauración: ¿La restauración es fácil y rápida?

¿Puede un usuario restaurar un fichero suyo o debe ser

siempre el administrador?

*Compatibilidad: ¿Sirve para todos los sistemas de la

plataforma? ¿El servidor debe correr en un sistema

concreto?

*Soporte físico: ¿Permite backup a

cinta, DVD, sistemas de ficheros remotos, disco…?

*Licencia: ¿Es software libre o comercial? ¿Dispone de

soporte para empresas?