Al hilo del incendio del edificio Windsor en Madrid, me gustaría que los que trabajéis en algo relacionado con el tema (administradores, empresas del sector, etc.) comentáseis cómo véis el tema de las medidas de seguridad de los sistemas informáticos en España.
Me refiero especialmente a algo de lo que no se habla mucho en los foros: la seguridad física.
¿Usan la mayoría de las empresas armarios ignífugos para almacenar la información sensible? ¿Y servidores de backup? ¿Se hacen copias de seguridad diarias de los servidores? ¿Y de los PCs de los trabajadores, cómo se gestiona la información que genera cada empleado? ¿Se toman medidas únicamente en las grandes empresas o también en las PYMES? ¿Por qué en muchos centros de trabajo el suelo es moqueta: se estudia el diseño del edificio teniendo en cuenta el contenido?...
¿Hasta qué punto se puede uno fiar de las empresas que afirman no haber perdido información importante?
¿Debería exigirse a las empresas un archivo electrónico seguro de sus datos, por ejemplo para que no puedan "perderse" información susceptible de ser auditada y fiscalizada?
¿Y en cuanto a los usuarios domésticos?
Seguridad: Fallos en la mayoría de las empresas
jmsanmiguel25 Febrero 2005 - 1:15pm
La mayoría de las empresas tienen muchas deficiencias en el ambito de seguridad, y el problema es siempre el mismo: FALTA DE RECURSOS.
Vamos a ser claro, para poder mantener los sistemas de una empresa seguros se necesita dinero. Dinero para mantener un administrador de sistemas competente, dinero para comprar sistemas informáticos, dinero para formar a los empleados, dinero para perseguir, auditar, realizar pruebas, etc...
Respecto a la disponibilidad, el tema que tratamos ahora:
- Los usuarios hacen copias de seguridad de sus datos? Cuando trabajan en local, los usuarios rara vez, al finalizar su jornada laboral realizan una copia de seguridad. La posibilidad de trabajar directamente en un servidor, requiere una buena conexión de red y espacio de almacenamiento.
- realización de Backup? En la mayoría de los casos consiste en cambiar la cinta de backup etiquetada con Lunes, Martes,... y eso suponiendo que exista alguien encargado de la administración de los sistemas, en muchos casos el intercambio de cintas lo realizan los propios usuarios (cuando no se olvida). Naturalmente, estas cintas se colocan encima del servidor (para tenerlas accesibles).
- comprobación del backup? Cada 120 años, o cuando se pierde un archivo, que nunca se conseguirá recupera...
- copias de seguridad en lugares remotos ??? JA JA JA...
En resumen EN LA MAYORIA DE LAS EMPRESAS NO EXISTE SEGURIDAD!!
Logicamente, si no hubiera una restricción monetaria, se tendría un buen administrador de sistemas, que contaria con los recursos necesarios para poder llevar a cabo los procedimientos para disponer de la información segura.
Servicios de recuperación de negocios
Gianluca23 Febrero 2005 - 2:51pm
Buenos días a todos,
Hablando de Planes de Desastre o de Contingencia, me dirijo a los participantes de este debate para pedir nombres y referencias de empresas que ofrecen centros de recuperación de negocios, comúnmente denominados BRS (Business Recovery Systems), en Madrid.
Muchas gracias
Un saludo,
GD
Business Continuity
anónimo26 Diciembre 2005 - 1:09pm
En Israel hace ya 20 anios que nos dedicamos a recuperar datos perdidos de sistemas, por causas que varian desde desastres "totales" como casos de fuego, desperfectos de hardware o software, etc. hasta desastres menores que ocurren dia a dia a cada uno de nosotros...por distraccion o error solemos borrar documentos, o los archivamos bajo nombres erroneos lo que los hace inalcanzables, al igual que sus diferentes versiones historicas. Nuestros ingenieros estuvieron realmente ocupados y preocupados durante la primera decada de nuestra existencia empresarial, tratando de que no nos ocurra a nosotros mismos - nuestras oficinas y laboratorios- lo que ocurria y sigue ocurriendo a nuestros desafortunados clientes. Tras analizar tecnica y filosoficamente las bases de disenio de los diferentes metodos de backup existentes, llegaron a la conclusion de que cada uno de los metodos propuestos ( y sus diferentes soluciones comerciales) eran imperfectos en tal o cual medida.
Fue entonces cuando se decidio crear una herramienta propia para asegurar la sobrevivencia de la informacion en cualquier caso, y el metodo se registro en la forma de 3 patentes en USA.
La decada siguiente la pasamos disfrutando de los resultados, perfeccionando y agregando features al sistema, e instalandolo en empresas privadas y publicas en nuestro pais, con gran exito. Ha pasado a ser parte integral del BCP - Business Continuity Planning o Planeamiento de la continuidad del negocio- en las empresas de nuestros clientes, y demuestra sus virtudes dia a dia.
Pueden leer sobre el sistema, llamado Backup proxy server, en www.bos.co.il, y tambien descargar un demo. En el presente, estamos a la busqueda de empresas internacionales o distribuidores locales en diferentes paises que deseen implementar y vender el software.
Cordialmente, feli@chief-group.com
un poco mas sobre copias de s
talstog21 Febrero 2005 - 2:08pm
un poco mas sobre copias de seguridad en windsor...
Mucho más que hacer una copia de seguridad
http://www.elmundo.es/ariadna/2005/222/1108750132.html
Restore, ese gran desconocido
vaceituno21 Febrero 2005 - 12:37pm
Hacer backup es sólo la mitad de la historia.
Con demasiada frecuencia cuando llega la hora de restaurar los datos, no se puede, con lo que todo el esfuerzo dedicado no sirve para nada.
De modo que la máxima debe ser: Haz Backup y Prueba Periodicamente el Restore.
Ejemplos de formas en que puede fallar el restore de un backup:
- Fallos de red durante la copia de respaldo.
- Falta de espacio en el medio de almacenamiento que es, con frecuencia, cinta.
- Problemas de derechos o de atributos del usuario de copia de respaldo.
- Fallos de procedimiento al etiquetar, cambiar o almacenar cintas.
- Caducidad de cintas o fallos en el medio magnético.
- Fallos del hardware o software de copia de respaldo.
- Hurto de cintas.
- Las personas que conocen el sistema de restore no están disponibles.
- Determinados copia de respaldo masivos llevan más tiempo del que se puede dedicar a realizarlos.
- Después de un desastre, el único dispositivo que puede realizar el restore ha sido destruido.
....el limite es la imaginacion
Copia de seguridad cada hora y mucho mas.
franci19 Febrero 2005 - 2:12am
En la empresa donde yo trabajo (creo que es pyme 18 trabajadores en total) sacamos copia de seguridad cada hora de las bases de datos que atacan nuestros clientes (bastantes BBDD y bastantes GBytes)(en realidad 2 completas y el resto del registro de transacciones) esto es copiado en otra máquina en cuanto termina de hacerse. Además diariamente se pasan a otros servidores en otra ciudad y como no, a una tercera cada semana. Esto ademas se hace restaurandolas automaticamente, (por si hubiese que tirar de ellas). Esto hace que consumamos bastantes GigaBytes diariamente, pero es lo que tiene mantener un sistema disponible 24 horas 7 dias a la semana.
--
Tomad y ejecutad todos en él, porque éste es mi Quantum. (Peibol)
Mi caso
Envite19 Febrero 2005 - 12:49am
En la empresa para la que trabajo, que es bien pequeña (pero que bien pequeña, somos tres trabajadores, y los tres a tiempo parcial) estamos (estoy) justamente ahora montando un sistema de copias de seguridad diario. Bueno, incremental diario y completo semanal. Y de momento lo estoy haciendo con sólo un ordenador de pruebas, y no con el servidor grande.
Pero bueno, por lo menos está la conciencia de que hay que hacerlo, aunque sea de momento en un disco duro dedicado, y en breve en CD-RW.
Si no hubiera sido porque perdieron un buen montón de datos la semana pasada, seguro que ahora no tendrían este misma conciencia de que las copias hay que hacerlas.
No estoy de acuerdo con lo que dices, pero defenderé con mi vida tu derecho a decirlo.
- Voltaire -
Pyme II
andresns18 Febrero 2005 - 7:51pm
Yo trabajo en una Pyme en la que tenemos SAP. Hacemos copias diarias (que se quedan en un armario bajo llave fuera del área de servidores) además de copias semanales y mensuales que se guardan fuera de la empresa. Hace tres años que pedí una caja fuerte icnífuga para las copias de seguridad y según me dicen en dirección este año seguro que sí (lo mismo que el año pasado). Con el presupuesto que tengo, solo me llega para poner unas velitas y rezar para que no pase nada. Nada que ver con los grandes.
Ser algo paranoico para estos casos no es malo ....
mr.nopper18 Febrero 2005 - 6:31pm
Vamos a ver, cuento el caso, soy ex-adminstrador de sap, oracle, etc.
Cuando se hace una instalacion nueva es bueno hacer un backup inicial completo, y lo más importante acto seguido probarlo, borrar lo que hayamos instalado, restaurar y ver que todo sigue en orden (la de lagrimas que he visto por culpa de no hacer esto).
Desgraciadamente a nosotros los de los cables no nos hace caso nadie, se encargan de medirnos por el famoso "uptime" o "QAS del 95%" o lo que sea, sin que nos hagan caso de los requerimientos de politicas de backup.
Y me pregunto yo, que clase de premio le damos a un director de tecnología que tras ignorar repetidamente a los administradores de sistemas ha conseguido dar un 99'99% del tiempo el sistema levantado y operativo, pero justo, el 0,01% del tiempo que se cae se da cuenta de que no tiene backup, este es inutil o inservible.
Mi opinion, y es solo una opinion, que depuren responsabilidades, si el responsable máximo resulta ser alguien que hizo caso omiso de los administradores que lo pague, ahora bien, si por el contrario, se le presento un plan de DRP (recuperacion de desastres, de estos he hecho mas de uno) donde se estimaba claramente los riesgos, bajo que supuestos se darían, y cual era el coste de mejorarlos y se aprobaron, la culpa no puede achacarse a dicha persona.
Ah, y por descontado, los administradores de sistemas no son responsables de esto (a no ser que fuesen ellos los encargados de elaborar el DRP)
Como le dije a un amigo que trabaja allí,
"chico, estos administradores creo que se han pasao tres pueblos probando el plan de contingencia"
--------------------------
Mas vale permanecer callado y parecer tonto que hablar y despejar todas las dudas.
Mark Twain
Sobre Pymes
uvisoft18 Febrero 2005 - 3:58pm
Hola a tod@s,
Yo he trabajado en varias pymes y en general puedo decir, que sin presión no consigues nada. Es decir piensan que por tener un "informatico" (diferenciar entre administración y gestión ya es demasiado) ya tienen las espaldas cubiertas y la responsabilidad pasa a ser de este, cuando creo que debe ser toda la empresa la que se implique en esta clase de temas.
Mi experiencia personal se resume en que quien no llora no mama. Gracias a esto he conseguido mejorar las instalaciones y seguridad informática, lo que antes eran dos servidores en medio de una oficina, han pasado a una sala (no ignifuga) dentro de un rack y la sala cerrada a cal y canto, los backup han pasado de una DAT muy, muy selectiva a un dispositivo DLT, donde practicamente se copia todo. Pero aun poniendo lo mejor, más de uno a perdido todo por algun patinazo de un disco duro, lo mejor la cara que se le queda cuando le preguntas donde guardaba la información o porque el ordenador no lo deja encendido para que se copia a una DLT.
Creo que en general las PYMES, no invierten lo que deberian invertir en informatica, no tienen planes de recuperación, las copias de seguridad se quedan en el mismo edificio....yo les doy un suspenso en esta cuestión.
Salut
Yo conozco el caso de una mul
pardal18 Febrero 2005 - 3:44pm
Yo conozco el caso de una multinacional y se que la seguridad para la gente de sistemas y los responsables se controla. Creo que hay unas normas iso que deben cumplirse, entre las que esta que todos los servidores que guardan informacion tienen que tener una copia como minimo en otro edificio. La copia puede ser una cinta de backup u otro servidor replicado. Ademas de backups diarios en cinta guardados en armarios ignifugos, que no se pueden dejar abiertos mientras vas un momento al lavabo.
El tema de la replica en otro edificio lo recuerdo por que me tube que encargar de ponerlo al dia. En las centrales no hay problema, pero en algunos centros pequeños donde tenian un solo servidor en el unico edificio de oficinas, en un cuarto, habia que montar un sistema de enviar la copia de seguridad cada dia a otro centro, de forma que el servidor estaba en un lugar con sus datos y las copias en otro.
En algun caso sino montar un segundo servidor en un cuarto en la otra punta de la fabrica, hacer tirar un cable de fibra, que es lo unico que daba, e instalar en ese servidor el sistema de backup y el armario ignifugo. El 'operario' que se encargaba de cambiar las cintas se daba un paseo en bici cada mañana.
Y pequeños accidentes tipo incendios en salas de servidores, o mas habitualmente en armarios con conexiones, si que se dan de vez en cuando.
En lo que se fallaba es en las simulaciones de recuperacion total, no se hacian de verdad porque es muy complicado, pero creo que con mas menos horas se podria recuperar todo.
Sobre Deloitte
Nineuk18 Febrero 2005 - 2:47pm
Hola, soy un autónomo que trabajo para Deloitte una temporada, y la verdad es que su sistema de seguridad para estos casos es igual que el de otras grandes auditoras/consultoras. También he trabajado para Cap Geminy, Accenture, y mas o menos todas hacen lo mismo.
Lo que hay en los servidores, es copiado con una periodicidad casi diaria. Si esa copia es externa, genial, pero de poco sirve si la copia se deja en la oficina que se ha quemado. En estos servidores la mayoría de información es interna, o sobre proyectos pasados. No quiero decir que esa información no importa perderla, pero no es tan importante. Y me consta que sus departamentos de IT siempre están pidiendo mas medios para casos como estos, peticiones que no suelen (o solían) ser muy bien vistas porque entonces los socios pierden dinero (o no ganan tanto). Eso si, los socios, que nunca sacan el portátil de la oficina, si habran sufrido perdida de datos, pero bueno, por una vez que sufran…..
La información realmente importante para ellos, la relacionada con los clientes, esta en el cliente, y estos no suelen dejar que salga de allí. Me imagino que ninguno dejaría que un empleado de Deloitte se llevase una copia del listado de los clientes, o de los proveedores, o de los tantos por ciento de beneficio sobre productos,…… por si acaso el portátil del consultor/auditor se pierde Los deloittienses lo miran en el SAP del cliente y se acabo.
Además, la mayoría de la información que se usa en el día a día esta en los portátiles. Su información es responsabilidad de cada auditor/consultor. Hay discos virtuales donde descargar información en la empresa, pero el método mas socorrido (y siendo sinceros poco usado)es el de la copia de seguridad en un CD. Y los empleados que están en cliente nunca dejan el portátil en la oficina el fin de semana, solo están allí los de la gente que esta sin proyecto, por lo que sus datos no son tan importantes.
Sobre las pymes, intenta ir a una y hablar de copias de seguridad, a ver que cara ponen.
Un saludo
Carpe Diem
Pyme
serguei18 Febrero 2005 - 3:41pm
Lo mio no es una pyme, pero cuando yo entré a trabajar en 'la empresa', una pyme les podía servir de guia... Las cintas de backup se guardaban en una cajita de cartón encima del dispositivo de cinta, que a su vez estaba sobre el servidor de copia.
Años atrás había leido a Antonio Villalón Huerta y simplemente le hice un poco de caso en el tema de la seguradad física.
A pesar del paso del tiempo aún pienso que su trabajo sigue siendo válido y no solo en los campos que el título indica.