Proyecto de Auditoria de Seguridad
IES Gran Capitán Departamento de Informática Ciclo Formativo de Grado Superior de Administración de Sistemas Informático
Views 78 Downloads 0 File size 741KB
Recommend stories
- Author / Uploaded
- pedroferfer92
Citation preview
IES Gran Capitán Departamento de Informática Ciclo Formativo de Grado Superior de Administración de Sistemas Informáticos
Módulo de Proyecto Integrado Pedro Fernández Fernández – 2ºASIR Proyecto: Auditoría de Seguridad Curso 2014/2015
Índice 1.- Introducción ............................................................................................................................. 2 2.- Objetivos y requisitos del proyecto ......................................................................................... 3 2.1- Objetivos generales............................................................................................................ 3 2.2- Objetivos específicos.......................................................................................................... 3 2.3- Alcance ............................................................................................................................... 3 3.- Plan de trabajo ......................................................................................................................... 4 4.- Estudio previo .......................................................................................................................... 5 4.1- Estado actual ...................................................................................................................... 5 4.2- Análisis y valoración de Riesgos ......................................................................................... 6 4.3- ¿Cuáles son los servicios esenciales? ................................................................................. 7 4.4- ¿Qué repercusión tendrían en caso de no estar en funcionamiento? .............................. 7 4.5- ¿A qué riesgo se exponen los servicios y qué coste económico supondrían? ................... 8 4.5.1- ¿Qué puede ocurrir? ................................................................................................... 8 4.5.2- ¿Con qué frecuencia y eficacia puede ocurrir? ........................................................... 8 4.5.3- ¿Cuáles serían sus consecuencias? ............................................................................. 9 4.6- Jerarquización de las Aplicaciones y Recursos ................................................................. 11 5.- Identificación de las posibles causas de fallos ....................................................................... 12 6.- Estudio de soluciones existentes ........................................................................................... 23 6.1- Plan de contingencia ........................................................................................................ 23 6.1.1- Actividades previas al desastre. ................................................................................ 23 6.1.2- Actividades durante el desastre................................................................................ 36 6.1.3- Actividades después del desastre. ............................................................................ 38 6.2- Medidas contra riesgos de fuerza mayor: ....................................................................... 40 7.- Documentación ...................................................................................................................... 41 7.1- Documento de Seguridad ................................................................................................ 41 7.2- Documento del Plan de Contingencia. ............................................................................. 42 8.- Difusión y mantenimiento ..................................................................................................... 44 9.- Conclusión y soluciones ......................................................................................................... 44 10.- Referencias / bibliografía ..................................................................................................... 46 11.- Anexos .................................................................................................................................. 46 ANEXO I ................................................................................................................................... 46 ANEXO II .................................................................................................................................. 47 ANEXO III ................................................................................................................................. 47 IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- [email protected]
1
1.- Introducción
La informática es un recurso de uso cada vez más extendido, esta tecnología brinda ventajas y rendimiento a las empresas y organismos públicos respecto a otras similares en el sector, pero su mal uso puede originar costos y desventajas si el personal no lo administra de forma correcta. Por lo que la solución está en realizar evaluaciones de forma completa y precisa de la informática, por parte del personal cualificad tales como auditores en informática, consultores externos o realizadas por el mismo personal de informática de forma periódica. Surge la necesidad de realizar auditarías a las funciones informáticas, ya que de forma absoluta se ha convertido en una herramienta permanente y necesaria de los procesos principales de los negocios y organismos públicos siendo pues un aliado confiable y oportuno. Esto es posible si se implementan los controles y esquemas de seguridad requeridos para su aprovechamiento óptimo. Se debe comprender la importancia de contar con un estudio de evaluación que asegure y promueva el buen uso y aprovechamiento de la tecnología de informática, pudiendo delegar este en personal altamente cualificado para ejercer la auditoría en informática dentro de la organización de manera formal y permanente. En la actualidad existen grandes retos tanto dentro de la empresa privada como también en los organismos públicos, esto lleva ligado grandes infraestructuras de las cuales debemos realizar evaluación. En nuestro caso nos centraremos en la evaluación del departamento de informática del “I.E.S Gran Capitán”. Por lo cual deberemos ajustar los recursos existentes en él para alcanzar los objetivos marcados como parte de un organismo público. Debido a esto se pretende hacer una auditoría de una forma sencilla y de está formar poder contribuir a mejorar el rendimiento y cumplimiento de las leyes. El objetivo de llevar a cabo dicho proyecto es poder contribuir con el personal asignado a
administrar
el
departamento
proporcionando
algunas
recomendaciones
herramientas necesarias para cumplir dichos objetivos.
IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- [email protected]
2
y
2.- Objetivos y requisitos del proyecto
2.1- Objetivos generales
Revisar y evaluar los procedimientos de informática; de los equipos informáticos, su utilización, eficiencia y seguridad de la organización que participan en el procesamiento de la información, a fin de proponer mejoras en la gestión y uso de la información como de establecer unas pautas para las personas responsables del departamento y así poder lograr un uso más eficiente y seguro de la información.
2.2- Objetivos específicos
-
Evaluar el conocimiento del personal sobre los requisitos.
-
Comprobar el grado de confiabilidad de la información del departamento con respecto a la ley de protección de datos.
-
Evaluar la forma en la que se administran los dispositivos de almacenamiento del área de informática y sus respectivas copias de respaldo.
-
Evaluar el control que se tiene sobre posibles fallas y proponer un plan de contingencia adecuado.
-
Evaluar el nivel del cumplimiento de las labores asignadas al personal responsable.
2.3- Alcance
Los límites que alcanzara la realización de la auditoría los cual determinaran los elementos que se van a revisar son los siguientes:
-
Revisión de los equipos.
-
Revisión de la ubicación de los equipos que prestan servicios o contienen información transcendental para el departamento.
-
Revisión del de los procedimientos generados en la realización de copias de respaldo.
Estas revisiones se llevaran a cabo con el fin buscar posibles carencias en el cumplimiento de las normas y leyes que regulan dichas actividades. Para poder ofrecer posibilidades mejoras y soluciones. IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- [email protected]
3
3.- Plan de trabajo CRONOGRAMA DE LA AUDITORÍA ENTIDAD: Departamento de Informática (IES Gran Capitán) FASE
Fecha: 15-06-2015 HORAS
ACTIVIDAD
ENCARGADOS
VISITA PREVIA • Solicitar manuales y documentación de seguridad. • Elaborar cuestionarios 1
12
• Recopilar de información: -
Estructura organizativa.
-
Recursos humanos presupuestos.
Pedro Fernández
DESARROLLO DE LA AUDITORÍA • Aplicar los cuestionarios al personal. • Entrevistas al personal más relevantes del departamento. • Análisis de control, seguridad, confiabilidad y respaldo. 2
• Evaluación de la estructura orgánica del departamento de informática.
30
Pedro Fernández
• Evaluación de los Recursos Humanos y económicos. • Evaluación de los sistemas. • Evaluación del Procesamiento de datos y de los equipos: seguridad de los datos, control de las operaciones, seguridad física y procedimientos de respaldo. REVISIÓN Y PRE-INFORME 3
• Revisión del trabajo realizado.
15
• Determinar la Evaluación para propuesta de mejoras. 4
INFORME • Elaborar y presentar el informe de mejoras.
10
Pedro Fernández Pedro Fernández
IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- [email protected]
4
4.- Estudio previo 4.1- Estado actual
En lo que se refiere al tratamiento de datos de carácter personal el departamento únicamente
maneja datos del alumnado en formato digital. Información que los
profesores extraen copias temporales en memoria USB y equipos personales de la plataforma Seneca y Moodle. Entre los profesores comparten esta información vía Internet mediante E-mail o Google Drive. Estos ficheros no están inscritos en el Registro de Protección de Datos. De esta información a las únicas terceras personas que se ceden datos de carácter personal es a las empresas colaboradoras con la FCT. Pero no existe ningún contrato con terceras personas ya que nadie externo realiza ningún tratamiento de dicha información. A los alumnos de los cuales se recogen datos de carácter personal mediante el cuestionario de principio de curso y en la plataforma Moodle, los cuales cumplen con la LOPD en cuanto a recoger únicamente los datos pertinentes y no excesivos para la finalidad para la cual son recogidos. En los cuales no se recoge ningún dato de carácter especialmente sensible (salud, religión, etc.). Pero los cuales no se informa de la finalidad de los datos de donde serán almacenados ni de sus derechos fundamentales de gestión de dichos datos a los alumnos afectados. El acceso donde se gestiona y almacena
la información de carácter personal se
encuentran en la nube protegido mediante usuarios y contraseñas y en dispositivos personales de los profesores los cuales no están cifrados. Las contraseñas de acceso a los recursos del departamento se encuentran guardadas en la web ClipperZ. A demás el acceso al departamento y a los distintos servidores locales se encuentran protegidos en armarios y puertas con llave. Los alumnos solo tienen acceso a los datos que los profesores les proporcionan de los cursos que están matriculados mediante la plataforma educativa Moodle. De la información de carácter personal de los alumnos no se tiene establecida ninguna política de copias de seguridad ni se realizan copias de seguridad ya que se utilizan ficheros temporales de los ficheros originales de Seneca o de la plataforma Moodle de la cual si se tienen programadas copias de seguridad. Tampoco se tiene control de posibles incidencias respecto a datos de carácter personal. El departamento no tiene definido ningún
documento de seguridad. La única
información que los profesores tienen sobre la LOPD
es obtenida de forma auto
IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- [email protected]
5
informativo por ellos mismos. A demás se es consciente de las posibles sanciones que conllevan el incumplimiento de la LOPD.
Las copias de seguridad de las que dispone el departamento en la actualidad son realizadas mediante rsync de la plataforma Moodle alojada en Interdominios y de la Web del centro. Estas copias consisten en una copia total los domingos y a partir de esta una incremental diariamente.
Los puntos más importantes que afectarían al normal funcionamiento de las actividades del departamento para tener en cuenta en la elaboración de un plan de contingencia ante posibles fallos son los siguientes puntos únicos de fallo: La conexión actual de la que dispone el departamento es la conexión de fibra óptica. La única red alternativa de la que se dispone es la red ANDARED de la Junta de Andalucía con velocidad muy reducida. El cortafuegos con software PfSense que se encuentra en el servidor físico Titan en la clase de 2º de DAW y funciona como filtro con las conexión externas de este servidor se dispone de un clon ya configurado para usar en caso de fallo. Si la conexión con el servidor Moodle se perdiese por un tiempo elevado el centro no tendría manera de seguir prestando ese servicio. El servidor de las máquinas virtuales al que se conectan los alumnos de DAW no dispone de ningún mecanismo de recuperación en caso de fallos. Los elementos de la red como los switch también podrían verse afectada y en caso de que estos fallasen dejarían inoperativa la red del aula. A demás existe un switch central vlan que si sufriese un fallo se verían afectadas todas las aulas del departamento y del cual no existe remplazo, ni documentación de la configuración de este dispositivo.
4.2- Análisis y valoración de Riesgos
El primer paso para realizar un plan de contingencia personalizado para el departamento, será realizar el análisis para determinar los procesos esenciales para este. Para la evaluación de riesgos a los haremos referencia a continuación. Hemos entrevistado a la Jefa del departamento. Para poder tener una visión exacta de la situación actual.
IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- [email protected]
6
4.3- ¿Cuáles son los servicios esenciales?
Los servicios esenciales que el del departamento ofrece en su actividad educativa diaria son los siguientes: Moodle: Plataforma educativa la cual el departamento usa para distribuir material didáctico entrega de prácticas y realización y recogida de algunos de los exámenes El servidor web: En esta Web se encuentra la oferta educativa ofrecida al público, calendarios escoleras y entre otros el blog de informática Sysblog. Máquinas virtuales DAW: Estas máquinas virtuales se alojan en un servidor local (Calipso) estas máquinas virtuales son el medio de trabajo de los alumnos de DAW que establecen conexiones a este mediante terminales ligeros.
4.4- ¿Qué repercusión tendrían en caso de no estar en funcionamiento?
Moodle: Si Moodle que se encuentra en un servidor externo al departamento sufriese algún fallo. Sería un problema muy grave para el departamento. Ya que los profesores perderían el material didáctico con el que imparten las clases, las prácticas de los alumnos junto con
posibles exámenes entregados por estos para su corrección mediante esta
plataforma.
El servidor web: Si fallase la web no sería un problema tan grave como Moodle pero si se requeriría poder restaurarla con la mayor brevedad posible ya que es “la cara visible” a la gente que busque información sobre la oferta educativa, consulte los calendarios o visite el blog.
Máquinas Virtuales DAW No se podrían impartir clases en las aulas de DAW con los equipos habituales con los que se realizan habitualmente ya que no podrían cargar sus sistemas operativos. Pero no se perdería información ya que los trabajos que realizan en ellos son retirados por los alumnos diariamente en dispositivos USB.
IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- [email protected]
7
4.5- ¿A qué riesgo se exponen los servicios y qué coste económico supondrían?
Para responder esta pregunta la hemos dividido en tres apartadores. Que puede ocurrir, la frecuencia con la que puede ocurrir y sus consecuencias. 4.5.1- ¿Qué puede ocurrir?
Uno de los factores que pueden afectar a los servicios del departamento son los relacionados directamente con la informática:
Virus, que dañen los equipos y archivos.
Accesos no autorizados, filtrándose datos no autorizados.
Ataques informáticos, que produzcan la denegación de algún servicio del departamento.
A demás de los anteriores riesgos también existe la posibilidad de sufrir daños como el vandalismo, el robo de material o datos. Otro punto a tener en cuenta son los fallos que puedan suceder como pueden ser los fallos humanos o errores en los equipos que dañen la información o equipos. Por ultimo debemos contemplar también los riesgos de causa mayor como pueden ser los incendios, las inundaciones o terremotos que puedan destruir los equipos y los archivos. 4.5.2- ¿Con qué frecuencia y eficacia puede ocurrir? Los riegos informáticos anteriormente mencionados tienen varios niveles de probabilidades de ocurrencia por eso los clasificaremos por separado. La acción de virus en los ordenadores personales tiene un nivel de riegos medio pero bajo en los equipos servidores ya que se tienen cerrado los puertos que no están en uso y protegidos tras un Firewall. La posibilidad de accesos no autorizados es de un nivel medio-alto por intento de usurpación de identidad por parte de alumnos o gente externa para realizar cambios para su beneficio (modificación de notas, mirar exámenes etc.), como reto o producir daño Para finalizar la evaluación de los riegos de ataque informáticos que provoquen la denegación de alguno de los servicios es bajo-medio ya que estos se IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- [email protected]
8
encuentran en los equipos más protegidos de la red mediante Firewall y filtrado de puertos. La posibilidad de sufrir grandes pérdidas por vandalismo es baja pero a pequeña escala esta puede aumentar. A los que robo de datos se refiere el nivel de riesgo es medio ya que los alumnos pueden ingeniar métodos para el robo
de información mientras que la
probabilidad de sufrir robos comunes ( materiales) es bajo ya que el centro cuenta con alarma antirrobo y las inmediaciones de este están valladas además cuenta con vigilado durante todo el día. El riesgo de sufrir fallos en los equipos o humanos es bajo ya que estos son relativamente nuevos y las personas que trabajas en el departamento es personal cualificado. Las causas de fuerza mayor como incendios inundaciones y terremotos tendrían mucha repercusión pero estas tiene un nivel muy bajo de posibilidades. 4.5.3- ¿Cuáles serían sus consecuencias? Por parte de los riesgos relacionados con la informática la acciones y riesgos de virus puede ser variada. Pero el nivel de consecuencias por regla general no suele tener efectos muy graves. Aunque actualmente existen una serie de virus criptográficos más sofisticados que encriptan los equipos y se propagan por la red local, el cual sufrir sus efectos si tendría un nivel de consecuencias más elevado. Siguiendo con los riesgos informáticos nos encontramos el acceso no autorizado a la información esto puede generar cambios importantes como puede ser la configuración de red, la modificación de la información sobre el alumnado (trabajos, exámenes, notas, borrar información, etc.). Por ultimo en esta categoría los ataques que denegasen algún tipo de servicio tendrían un nivel de repercusión bajo-medio a no ser que este se prolongase en el tiempo. Las consecuencias del vandalismo serian perdidas económicas de los materiales dañados. Sus consecuencias son la misma que el robo común estas no supondrían gran problema ya que por lo general no se dispone de objetos de gran valor Por otra parte ser encuentra el robo de datos. Este puede generar unas consecuencias de nivel medio ya que se harían públicos los datos académicos trabajos y exámenes que guarda el departamento. Las consecuencias de una equivocación por parte del personal pueden provocar fallos en la configuración de la red o pérdida de información importante de los IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- [email protected]
9
alumnos como notas o exámenes por lo que toma un nivel medio de consecuencias. Los fallos de los equipos de sobremesa no tendrían gran repercusión ya que este puede sustituirse en un breve plazo de tiempo o usar otro equipo. Pero a nivel de equipos servidores sería más graves a continuación de muestra una lista de las consecuencias de la perdida de cada uno de los servidores
-
Júpiter:
Perdida de servidor DNS gcap.net Perdida Máquinas Virtuales de prácticas de DAW y ASIR Perdida de proyectos integrados Perdida aplicación de biblioteca he inventarios Nivel de consecuencias: La pérdida del servidor Júpiter serian de un nivel medioalto
-
Calisto
Perdida servidor de Máquinas Virtuales de los terminales ligeros de DAW Pérdida de la resolución DNS y las Máquinas Virtuales Perdida del Proxys inverso que permite el acceder a los servidores desde el exterior Nivel de consecuencias Es el servidor más caro y el que más importante las consecuencias que tendría para el departamento su perdida serían muy graves.
-
Titan
Perdida del Cortafuegos (PfSense) Nivel de consecuencia: Se comprometiera la seguridad y la red interna del centro dejaría de funcionar por lo cual toma un nivel medio-alto junto a Júpiter.
-
Ganimedes
Perdida del repositorio del departamento Nivel de consecuencias: La pérdida del servidor Ganimedes serian de un nivel medio.
Las consecuencias de los riesgos de causa mayor como incendios, inundaciones y terremotos serian de unas consecuencias muy graves ya que estos producirían IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- [email protected]
10
la destrucción del material y la información por completo las pérdidas económicas y de datos serían muy elevadas.
Lista de riegos y niveles
Riesgo\Nivel
Frecuencia
Eficacia
Consecuencias
Virus
Media
Media-baja
Media
Accesos no autorizados
Media-alta
Media
Media-Alta
Ataques informáticos
Media
Media
Media-Baja
Vandalismo
Baja
Media-alta
Baja
Robo común
Baja
Media
Baja
Robo de datos
Medio
Media-Baja
Media
Fallos humanos
Baja
Media
Media Júpiter: Media-alta
Fallos de los equipos
Media
Media-alta
Calisto: Muy Alta Titan: Media-alta PCs: Baja
Incendios
Baja
Alta
Muy Altas
Inundaciones
Baja
Alta
Altas
Terremotos
Muy baja
Alta
Muy Altas
4.6- Jerarquización de las Aplicaciones y Recursos
A continuación se enumera una lista con las aplicaciones, recursos y sistemas más relevantes para el departamento, que pueden ser críticos frente a cualquier eventualidad o desastre. De forma que se establezca una jerarquía de importancia dentro del departamento.
IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- [email protected]
11
Importancia del recurso
Posibilidad de amenaza
(1-5)
(1-5)
Moodle
5
3
2
MVs DAW
5
3
3
Servidor Web
3
4
4
DNS gcap.net
2
2
5
Inventario
4
2
6
MVs Profesores
2
3
7
Proxy inverso
3
3
8
Cortafuegos
4
3
9
PCs Departamento (1)
2
2
10
PCs DAW (2)
3
3
11
PCs ASIR(3)
3
3
Número
Recurso
1
(1) (2) (3)
3 equipos de los cuales 1 tiene el sistema operativo Windows 7 y 2 Ubuntu 14.04 34 equipos de los cuales 24 son terminales ligeros y 10 tienen Ubuntu 14.04 y Windows 7 duales 60 equipos nuevos con Ubuntu 14.04
5.- Identificación de las posibles causas de fallos Para determinar cuáles son los puntos débiles que pueden comprometer la integridad del departamento, vamos a examinar qué medidas se toman actualmente y cuáles serían las medidas más óptimas para los elementos que intervienen en el correcto funcionamiento de las actividades del departamento. Suministro eléctrico:
Medidas actuales: Actualmente se dispone de un SAI para los servidores. Pero se desconoce el estado de las baterías de este ni la duración sin suministro de la que se dispondría
Medidas óptimas: Disponer de un dispositivo SAI para los equipos más importantes como servidores para casos en los que el suministro eléctrico falle durante varias horas poder seguir manteniendo los servicios. Y poder realizar un apagado correcto de los servidores en caso de que la falta de suministro se prolongase en el tiempo.
Fuentes de alimentación de equipos servidores: IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- [email protected]
12
Medidas actuales: Actualmente no se dispone de fuentes de alimentación redundantes, ni se dispone de fuentes de alimentación de repuesto. Ni de ninguna otra medida de seguridad en prevención a la perdida de las fuentes de alimentación de los servidores.
Medidas óptimas: Disponer de fuentes de alimentación redundante en los servidores para en caso de fallo poder seguir en funcionando mientras se repone la fuente de alimentación estropeada sin interrumpir el servicio.
Almacenamiento externo de servidores:
Medidas actuales: Actualmente solo se dispone de un RAID 5 en el servidor Calisto. El resto de servidores no dispone de ningún tipo de media de recuperación de datos.
Medidas óptimas: Disponer de aquellos discos duros con contenido esencial para el departamento sistemas de redundancia como RAID 1 o RAID 5 y copias de seguridad en dispositivos destinados al almacenamiento en red (NAS).
Acceso a Internet:
Medidas actuales: Actualmente se dispone de la conexión a internet de ANDARED y una línea ADSL de fibra óptica con Telefónica.
Medidas óptimas: Disponer de 2 líneas ADSL contratadas en distintas compañías con balanceo de carga con router (Mikrotik). Para usar una u otra independientemente de que una de las dos deje de estar operativa.
Switch:
Medidas actuales: No se dispone de ningún switch de repuesto ni del switch central Vlan ni de los switches de las aulas
IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- [email protected]
13
Medidas óptimas: Se pueden distinguir dos tipos de switch uno principal vlan del cual dependen toda la red del departamento y los switches a los que se conectan los equipos de las aulas.
a) Se dispondrá de un segundo switch vlan de las mismas características que el que se encuentra en uso. Y preparado con la misma configuración que el que está en funcionamiento. Para en caso de que este falle poderlo remplazarlo por este sin perder la configuración del switch original.
b) Para asegurar el funcionamiento diario de la redes de las aulas se contara con un par de switches de reserva de los switches de estas. Acceso Moodle:
Medidas actuales: De la plataforma Moodle si se dispone de copia local totales realizadas los fines de semana e incrementales diarias que se puede restaurar en los servidores locales en caso de que fallase la conexión al servidor externo
Medidas óptimas: Realizar una copia totales semanalmente e incremental diaria, almacenadas en los servidores locales, la copia total se llevara a cabo los días del fin de semana, y ambos tipos de copia se realizaran durante la madrugada. Para evitar al máximo los accesos a la base de datos, evitando así daños y que esta pueda corromperse. Para en caso de que la conexión o el servidor remoto fallase poder tener acceso a la plataforma Moodle de forma local,
Máquinas Virtuales en producción:
Medidas actuales: Las medidas de seguridad actuales de las máquinas virtuales actualmente son inexistentes.
Medidas óptimas: Al utilizarse Proxmox para la virtualización solo nos permite hacer copias totales de las máquinas virtuales. Y como el espacio del NAS está limitado a 2TB se realizaran copias totales diarias
IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- [email protected]
14
durante la noche. Pero solo se almacenaran las copias de los dos últimos días en el NAS. Cortafuegos:
Medidas actuales: Actualmente se dispone de un cortafuegos de reserva configurado como el actual cortafuegos Titan en el que se implementa el software PfSense.
Medidas óptimas: La medidas más óptimas para el cortafuegos seria disponer de un cortafuegos de reserva configurado de la misma forma y con el mismo software que es que esta en uso. Por si la máquina servidora que lo contiene se estropease. O bien realizar una copia total cada 30 días y una diferencial semanalmente aproximadamente ya que la configuración del cortafuegos no se modifica frecuentemente. Para en caso de sufre un fallo de software poder restaurar el cortafuegos en el mismo servidor físico.
Proxy inverso:
Medidas actuales: De la máquina virtual de proxy inverso no se tiene copia de respaldo en caso de necesidad de reconstrucción de la misma.
Medidas óptimas: Disponer de este servicio duplicado en otra máquina virtual para poder ponerlo en marcha en caso del que el principal fallase.
Servidor Web:
Medidas actuales: De la web si se dispone de copias de respaldo totales realizadas los fines de semana e incrementales diaria.
Medidas óptimas: Disponer de este servicio duplicado en otro servidor para en caso de que uno de los dos servidores web fallase. Se redireccione al otro servidor Web. A demás se debe salvaguardar la web realizando copias totales semanales e incrementales diarias.
IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- [email protected]
15
Incendios:
Medidas actuales: En la actualidad el departamento y sus aulas dispone de extintores de polvo pero no cuenta con extintores para equipos electrónicos de CO2.
Medidas óptimas: Disponer en primer lugar de los equipos antiincendios adecuados y revisados. Manteniendo al personal debidamente informado y formados en materia de prevención y extinción de incendios, realizando las charlas y cursos necesarios para la formación de los mismos. A demás como medida de seguridad se plantean dos opciones mantener copias de la información esencial en discos duros guardados dentro de cajas ignífugas o disponer de dichas copias fuera de las instalaciones del departamento.
Inundaciones:
Medidas actuales: Actualmente la instalación de servidores y equipos informáticos del departamento se encuentra elevado en un primer piso.
Medidas óptimas: Para prevenir daños por inundaciones lo ideal sería evitar tener las partes sensibles a daños como los servidores en sótanos o planta baja para disminuir el riesgo de que estos se inunden.
Respecto a la ley de protección de datos identificamos: Copias temporales de ficheros con datos de carácter personal:
Medidas actuales: Los profesores realizan copias temporales de los ficheros de datos pero no se toman las medidas de seguridad oportunas al nivel de seguridad asociados a dichos ficheros.
Medidas óptimas: Según el Real Decreto 1720/2007, de 21 de diciembre, las copias temporales requieren el mismo nivel de seguridad que el fichero original. Por lo cual al tratarse de ficheros automatizados
IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- [email protected]
16
que requieren un nivel de seguridad bajo especificaremos dichas medidas para este tipo de ficheros.
a) En primer lugar se debe definir y documentar las funciones y obligaciones de cada usuario o perfil de usuario con acceso a estos datos.
b) Adoptar las medidas necesarias para que el personal conozca de una forma clara las normas de seguridad que afectan al desarrollo de sus funciones y las consecuencias de incumplirlas.
c) Generar un procedimiento de notificación de incidencias que afecten a los datos de carácter personal. En el que conste el tipo de incidencia, el momento en que se ha producido o detectado, la persona que realizo la notificación, a quien se le comunica, los efectos que se hubieran derivado de la misma.
d) Establecimiento de mecanismos de control de acceso a los datos.
e) Cumplir con las medidas relativas a la gestión de soportes que contengan datos personales (identificación, salidas, traslados o destrucción).
f)
Implantación de un mecanismo que permita identificar de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información.
g) Se deben hacer copias de respaldo de los datos de carácter personal con una periodicidad mínima semanal. Salvo que esta no haya sufrido modificaciones. Verificando cada seis meses el correcto estado de los procedimientos de realización de copias de respaldo.
IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- [email protected]
17
h) Prohibición de realizar pruebas con datos reales si no se asegura el nivel de seguridad correspondiente a dichos datos. Notificación a la Agencia Española de Protección de Datos:
Medidas actuales: Actualmente no se notifica ningún tipo de fichero de carácter personal a la Agencia Española de Protección de Datos.
Medidas óptimas: Cuando se tienen ficheros de carácter personal estos deben de notificarse a la Agencia Española de Protección de Datos. Como se establece en el artículo 39 del Título VI de la Ley Orgánica 15/1999, de 13 de diciembre. Para esto debemos acceder a la web oficial de la Agencia Española de Protección de Datos www.agpd.es y rellenar el formulario NOTA para notificarlos. Para ello seguiremos los pasos de los manuales adjuntados en el ANEXO I del presente documento.
Colaboración con empresas externas:
Medidas actuales: Actualmente no se realiza contrato con las empresas colaboradoras en categoría de encargados de tratamiento de la información.
Medidas óptimas: Al colaborar con empresas externas y ceder datos de los alumnos como en el caso de la FCT. Dicha empresa se consideraría “encargado del tratamiento”. Esto debe estar regulado siguiendo el artículo 12 de la Ley Orgánica de Protección de Datos mediante un contrato por escrito como el que se adjunta en el ANEXO II del presente documento en el que coste los datos serán tratados por el encargado del tratamiento según las indicaciones recibidas por el responsable del fichero
y exclusivamente para la finalidad pactada entre ambas partes. También deben establecerse las medidas de seguridad que deberá cumplir el encargado del tratamiento para efectuar dicho tratamiento de datos personales. Una vez finalizada la prestación del servicio, los datos personales a los que haya tenido acceso el encargado del tratamiento deberán ser devueltos al responsable del fichero. IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- [email protected]
18
Comunicación de la recogida de datos de carácter personal para su posterior tratamiento:
Medidas actuales: Actualmente no se comunica a ningún alumno de la finalidad ni del tratamiento que recibirán sus datos de carácter personal por parte del departamento.
Medidas óptimas: En el caso de la recogida de datos de carácter personal y tratamiento de los mismos. No será necesaria la comunicación a los alumnos de dicho procesamiento ya que en la Ley Orgánica 15/1999 establece en su artículo 6.2 que “La incorporación de un alumno a un centro docente supondrá el consentimiento para el tratamiento de sus datos”. Por tanto, no será necesario el consentimiento expreso y por escrito de los alumnos.
Acceso físico a los datos de carácter personal:
Medidas actuales: Actualmente el acceso físico a los datos de carácter personal se encuentra protegido en instalaciones bajo llave o fuera del centro.
Medidas óptimas: Según el artículo 17 del Capítulo III del Real Decreto 1720/2007 que establece los requisitos mínimos de seguridad, indica que, “Los sistemas se instalarán en áreas separadas, dotadas de un procedimiento de control de acceso. Como mínimo, las salas deben estar cerradas y disponer de un control de llaves”. Por lo cual se deben proteger los datos de carácter personal almacenados en el departamento bajo llave.
Almacenamiento de datos de carácter personal y dispositivos portátiles :
Medidas actuales: Actualmente los profesores si usan autentificación mediante usuarios y contraseñas pero no se solicita autorización para almacenar datos de carácter personal en dispositivos portátiles.
IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- [email protected]
19
Medidas óptimas: Según el Título VIII del Real Decreto 1720/2007 en el que se especifica las medidas generales a todos los niveles de seguridad indica que “Cuando los datos de carácter personal se almacenen en dispositivos portátiles o se traten fuera de los locales del responsable de fichero o tratamiento o del encargado del tratamiento, será preciso que exista una autorización previa del responsable del fichero o tratamiento, y en todo caso deberá garantizarse el nivel de seguridad correspondiente al tipo de fichero tratado” . Por lo cual habrá que solicitar autorización al responsable del fichero mediante el documento adjunta en el ANEXO III del presente documento. A demás debe hacerse uso en cualquier caso de un sistema de usuarios y contraseñas que identifique en todo momento los usuarios que aceden a la información.
Copia de seguridad de los datos de carácter personal :
Medidas actuales: El departamento guarda datos de carácter personal en la plataforma Google Drive y Moodle de la cual se hacen copias completas semanalmente e incremental diariamente.
Medidas óptimas: Según el artículo 94 del Capítulo III del Real Decreto 3/2010, de 8 de enero se debe:
a) Establecer procedimientos de actuación para la realización como mínimo semanalmente de copias de respaldo, salvo que no se realicen modificaciones.
b) Establecer procedimientos para la recuperación de los datos que garanticen en todo momento su reconstrucción.
c) Verificar
cada
funcionamiento
seis
meses
la
correcta
definición,
y aplicación de los procedimientos de
realización de copias de respaldo y recuperación de los datos.
Por los cual se debe realizar copias como mínimo semanales de cualquier otra plataforma que contenga datos de carácter personal. En el caso como IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- [email protected]
20
el de Moodle que se encuentra externalizado se debe realizar copia locales como mínimo con esta periodicidad. Para así poder restablecer la información de carácter personal en un dispositivo local. Por último se deben realizar las labores de
verificar del correcto funcionamiento de
dichos procedimientos de copias de respaldo y recuperación con una periodicidad mínima de seis meses notificando que todo el procedimiento se realiza de forma correcta. Almacenamiento de contraseñas:
Medidas
actuales:
El
departamento
guarda
actualmente
las
contraseñas en un servicio de internet gratuito llamado “ClipperZ”, que no ofrece ninguna garantía.
Medidas óptimas: A parte de las medidas tomadas en la actualidad por el departamento, también se podrían pagar un segundo servicio de almacenamiento de contraseñas de similares característica a ClipperZ como “Kaspersky Password Manager” que nos ofrezca más opciones de uso como sincronización de las contraseñas en los ordenadores el departamento y mayores garantías de servicio.
Documento de seguridad:
Medidas actuales: El departamento actualmente no tiene redactado ningún documento de seguridad
Medidas óptimas: Según el artículo 88 del Capítulo II del Real Decreto 3/2010, de 8 de enero “Toda organización que realice tratamiento de datos de carácter personal debe redactar un documento de seguridad que recogerá las medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente”. El documento de seguridad para los ficheros de carácter personal del departamento debe contener los siguientes aspectos mínimos atendiendo al nivel de seguridad que estos requieren que en el caso del departamento es de nivel bajo:
IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- [email protected]
21
a) Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
b) Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este reglamento.
c) Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros.
d) Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan. e) Procedimiento de notificación, gestión y respuesta ante las incidencias.
f)
Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados.
g) Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes.
h) Cuando se produzcan
tratamientos de datos por cuenta de
terceros, el documento de seguridad deberá contener la identificación de los ficheros que se traten en concepto de encargado
i)
El documento de seguridad será revisado siempre que se produzcan cambios relevantes en el sistema de información, en el sistema de tratamiento empleado, en su organización, en el contenido de la información incluida en los ficheros o tratamientos.
IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- [email protected]
22
Por los cual el departamento debe
redactar con la mayor
brevedad posible un documento de seguridad para sus ficheros con datos de carácter personal. Dicho documento podrá ser único para todos los ficheros de carácter personal o específico para cada fichero o conjunto de ficheros.
6.- Estudio de soluciones existentes Para buscar soluciones a los problemas a los se enfrenta el departamento en su actividad diaria y que estas sean viables, tendremos que tener en cuenta los recursos humanos y económicos de los que este dispone. Por lo cual habrá que hacer balance entre los recursos que deben invertir para solventar un problema y lo que supondría que este afectase al departamento. Para plantear la solución o soluciones más adecuadas. Las soluciones para el departamento no deben suponer un gran esfuerzo económico ya que el presupuesto de este es limitado. Además la atención requerida por parte de sus responsables tampoco podrá ser excesiva ya que estos deben cumplir con sus labores educativas. Como punto de partida debemos especificar el nivel de seguridad que requiere el departamento atendiendo a las especificaciones espuertas en el Real Decreto 1720/2007, de 21 de diciembre es de nivel bajo. 6.1- Plan de contingencia Establecimientos de requerimientos de recuperación
A continuación se definen las acciones que se deben tomar en el departamento para protegerse, minimizar o recuperarse de los efectos de sufrir un desastre sea cual sea su índole. Las tres etapas en las que se divide este plan de contingencia son las siguientes: 6.1.1- Actividades previas al desastre. Estas pueden ser actividades de planteamiento, preparación, entrenamiento y ejecución de las actividades de resguardo de información que nos asegure un proceso de recuperación con el menor costo y mayor eficacia posible, a IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- [email protected]
23
continuación señalamos una serie de acciones que son precisas de realizar en la ejecución de este plan.
Definir y Establecer un Plan de Acción
a- Sistemas de Información: El departamento forma un sistema de información independiente el cual está compuesto de tres elementos fundamentales. 1) Personas: Se considera persona implicada en el sistema de información a toda aquella que intervenga en dicho proceso de tratamiento de datos (profesores, alumnos, etc.). 2) Datos: Todo conjunto de elementos que el departamento procesa y sirve de información (exámenes, trabajos, listas, etc.).
3) Actividad: Todo procesamiento que se realice el tratamiento de los datos almacenados (evaluaciones, corrección de exámenes, etc.). b- Equipos de cómputo: El departamento cuentas con una serie de equipos de cómputo para diferentes fines y con distintas prioridades por lo que hay que hacer una lista de prioridad de estos.
1) Inventario actualizado: El departamento cuenta con los siguientes equipos informáticos en la actualidad.
-
En el departamento se cuenta con 3 equipos de los cuales 1 tiene el sistema operativo Windows 7 y los otros 2 Ubuntu 14.04. El uso habitual de estos es por parte del profesorado para la preparación y corrección de exámenes, acceso a páginas web como la de Seneca de la junta de Andalucía.
-
En las clases de DAW se dispone de 34 equipos de los cuales 24 son terminales ligeros y 10 tienen Ubuntu
IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- [email protected]
24
14.04 y Windows 7 duales. El uso habitual de estos equipos es de realización de tareas y exámenes por parte de los alumnos de DAW.
-
En las clases de ASIR se dispone de 60 equipos nuevos con Ubuntu 14.04. El uso habitual de estos equipos es de realización de tareas y exámenes por parte de los alumnos de ASIR.
2) Señalización: Los equipos deben de estar correctamente señalizados de acuerdo con la importancia de su contenido, para ser priorizados en caso de evacuación. Por ejemplo poner una etiqueta roja con el contenido del mismo a los servidores o equipos más importantes, amarilla para los PCs con información importante y verde para los PCs que no tenga información relevante. 3) Respaldo de Equipos: Tener siempre una relación actualizada de equipos mínimos para cubrir las funciones básicas y prioritarias del sistema de información.
c- Obtención y Almacenamiento de los Respaldos de Información (Backups): Se debe establecer un procedimiento para la obtención de copias de seguridad de todos los elementos de software necesarios para asegurar la correcta ejecución de los sistemas o aplicaciones del sistema de información. Para ello se debe contar con: 1) Backups de Sistemas Operativos: En caso de contar con varios sistemas operativos o versiones se debe contar con una copia de seguridad de cada uno de los sistemas operativos o versiones utilizadas.
2) Backups de Aplicación: Tanto los programas fuente como de los programa objeto y cualquier otro software o procedimiento que también realice tratamiento de datos. Cada IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- [email protected]
25
uno de estos programas o procedimientos debe contar con copia de respaldo.
3) Backups
de
Datos:
Toda
Base
de
Datos,
tablas,
contraseñas, documentación o archivos necesarios para el correcto funcionamiento del sistema de información deberá contar
con
una
copia
de
seguridad
actualizada
y
automatizada. 4) Backups de Hardware: Se debe disponer de los medios necesarios para sustituir o replicar las funciones del hardware esencial del departamento en otro hardware susceptibles de ser usados como equipos de emergencia. d- Políticas
(Normas
y
Procedimientos
de
Backups):
Establecimiento de los procedimientos, normas, y determinación de responsabilidades en la obtención de los Backups mencionados punto anterior: 1) Backups de Sistemas Operativos:
a) Periodicidad de Backups: Los backups de Sistemas Operativos deben realizarse cada vez que implante un nuevo sistema o versión del cual no se dispone de respaldo. En el caso de los sistemas operativos de los servidores, se guardara una copia de cada uno de los servidores con la configuración inicial. b) Respaldos del movimiento de información (backups diferenciales e incrementales): En el caso del respaldo de los Sistemas Operativos las copias incrementales no serán necesarias ya que se hará una copia del estado inicial en funcionamiento. c) Registro de incidencias y control de backups: Al ser un tipo de copia no periódica ni automatizada, el registro de esta IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- [email protected]
26
copia se realizara de forma manual en un fichero en los equipos del departamento por parte del personal de este. Constando en el registro el Sistema Operativo respaldado, nombre del responsable de la copia y fecha de la misma. d) Almacenamiento de los Backups: El almacenamiento más óptimo para este tipo de copias será tenerlas en dos soportes diferenciados. Por una parte guardar una copia de cada sistema operativo en formato CD/DVD almacenados en un lugar en condiciones ambientales óptimas sin exposición directa al sol ni a la humedad y por otra parte almacenar una copia de todos los sistemas operativos en un dispositivo de almacenamiento en red (NAS). e) Reemplazo de los Backups, en forma periódica, antes que el medio de soporte se pueda deteriorar: El remplazo de los CD/DVD de las copias de respaldo de los sistemas operativos deben volverse a grabar periódicamente. Ya que estos se deterioran con el tiempo por lo que en un plazo de 1-2 años estos deben ser renovados. f)
Pruebas periódicas de los Backups, verificando su funcionalidad: Para corroborar que el estado de las copias de respaldo de los sistemas operativos que tenemos almacenados funcionan correctamente. Se debe realizar las pruebas pertinentes de recuperación de cada uno de los sistemas con cada uno de los métodos en los que se tienen almacenados. Estas pruebas deben realizarse de forma periódica, con una periodicidad mínima de un año. Realizando una prueba inicial al ser creada para comprobar que se ha realizado correctamente.
2) Backups de Aplicación:
Backups Moodle IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- [email protected]
27
a) Periodicidad de Backups: Al tratarse de la plataforma Moodle y contener datos de carácter personal, de los cuales es responsable el departamento. Se debe cumplir con el mínimo establecido en el artículo 94 del Real Decreto 3/2010, de 8 de enero. Por los que los backups de la plataforma Moodle se realizaran con una prioridad semanal y esta se llevara a cabo durante el fin de semana en horario de madrugada. b) Respaldos del movimiento de información (backups diferenciales e incrementales): En el caso de Moodle se realizaran copias incrementales diarias, ya que el movimiento de datos de esta plataforma es diario. Por lo cual este tipo de copia de seguridad es el más adecuado por ser la más rápida de realizar y la que menos espacio de almacenamiento requerido. c) Registro de incidencias y control de backups: El registro de los backups y sus incidencias se realizaran en ficheros de log en la máquina encargada de realizar dicha tarea.
d) Almacenamiento de los Backups: El almacenamiento para salvaguardar las copias de Moodle se realizara en un servidor local del departamento el cual cuente con algún medio de redundancia de datos como RAID o almacenamiento (NAS). e) Reemplazo de los Backups, en forma periódica, antes que el medio de soporte se pueda deteriorar: Para evitar que las copias de seguridad puedan estropearse debido al deterior del soporte físico que las contienen. En este caso los discos magnéticos de los servidores locales, estos deberán ser sustituidos cuando presente cierto nivel de deterioro y antes de que fallen de forma definitiva. Para evitar este tipo de riesgo se debe tomar IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- [email protected]
28
algunas de las medidas propuestas en el apartado anterior. Del cual ya se dispone de un RAID 5 en el servidor Calisto. f)
Pruebas periódicas de los Backups, verificando su funcionalidad: Al igual que en el primer aparatado el artículo 94 del Real Decreto 3/2010, de 8 de enero establece que deben realizarse pruebas del correcto funcionamiento del proceso de creación y restauración de copias de seguridad con una periodicidad de seis meses.
Backups Máquina Virtuales en producción a) Periodicidad de Backups: La periodicidad de las copias de las máquinas virtual en producción será daría durante la tarde o la noche para evitar las horas del día en las que estas están más en uso.
Las maquinas actuales en producción son las siguientes:
-
La máquina virtual que contiene el servidor Júpiter pertenecientes a los profesores usadas para dar soporte en exámenes, practicas. En estas copias descartaremos las máquinas virtuales que solamente estén destinadas a pruebas.
-
La máquina virtual que contiene el servidor Calisto pertenecientes a los alumnos DAW que aceden a ellas mediante terminales ligeros.
b) Respaldos del movimiento de información (backups diferenciales e incrementales): En el caso de las máquinas virtuales no es posible realizar este tipo de
IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- [email protected]
29
copias ya que estas están vitalizadas en PROXMOX y solo permite copias totales. c) Registro de incidencias y control de backups: El registro de los backups y sus incidencias se realizaran en ficheros de log en la máquina encargada de realizar dicha tarea. d) Almacenamiento de los Backups: El almacenamiento para salvaguardar las copias de las máquinas virtuales se realizara en el NAS del que dispone en el departamento guardando las copias de los dos últimos días ya que el espacio del que se dispone es limitado. e) Reemplazo de los Backups, en forma periódica, antes que el medio de soporte se pueda deteriorar: Para evitar que las copias de seguridad puedan estropearse debido al deterior del soporte físico que las contienen. En este caso los discos magnéticos del NAS, estos deberán ser sustituidos cuando presente cierto nivel de deterioro y antes de que fallen de forma definitiva. Para evitar este tipo de riesgo se debe tomar algunas de las medidas propuestas en el apartado anterior. Las cuales ya se dispone de un RAID 1. f)
Pruebas periódicas de los Backups, verificando su funcionalidad: Para garantizar que los procedimientos de creación y de restauración funcionan correctamente se recomienda realizar pruebas de recuperación de alguna de las máquinas virtuales aleatoriamente trimestralmente.
Documentando
debidamente
las
máquinas virtuales usadas en la prueba, la fecha de dicha prueba y las incidencias o resultados obtenidos en dicho proceso. Backups Servidor Web IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- [email protected]
30
a) Periodicidad de Backups: La periodicidad con la que se realizan copias del servidor Web será semanalmente durante los días del fin de semana en la madrugada. b) Respaldos del movimiento de información (backups diferenciales e incrementales): En el caso del servidor web se realizarán copias incrementales diarias. Durante la noche para evitar las horas del día con más tráfico Web. c) Registro de incidencias y control de backups: El registro de los backups y sus incidencias se realizaran en ficheros de log en la máquina encargada de realizar dicha tarea. d) Almacenamiento de los Backups: El almacenamiento para salvaguardar las copias del servidor web se realizara en otro de los servidores locales o bien en el almacenamiento en red (NAS). e) Reemplazo de los Backups, en forma periódica, antes que el medio de soporte se pueda deteriorar: Para evitar que las copias de seguridad puedan estropearse debido al deterior del soporte físico que las contienen. En este caso los discos magnéticos de los servidores o NAS, estos deberán ser sustituidos cuando presente cierto nivel de deterioro y antes de que fallen de forma definitiva. Para evitar este tipo de riesgo se debe tomar algunas de las medidas de redundancia de datos como RAID 1, RAID 5 en caso de almacenarse en los servidores. f)
Pruebas periódicas de los Backups, verificando su funcionalidad: Para garantizar que los procedimientos de creación y de restauración funcionan correctamente
IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- [email protected]
31
se recomienda realizar pruebas de recuperación del servidor web con una periodicidad máxima de seis meses.
Backups Inventario a) Periodicidad de Backups: La periodicidad con la que se realizan copias del inventario una vez que este empieza a usarse será semanalmente. En el caso de esta aplicación el momento del día elegido para realizar la copia de seguridad no será de gran relevancia. Ya que esta no es una aplicación que se vaya a usar con excesiva frecuencia. b) Respaldos del movimiento de información (backups diferenciales e incrementales): En el caso del inventario se realizarán copias diferenciales diarias debido a su poco tráfico de datos no se generaran copias de seguridad excesivamente grandes. c) Registro de incidencias y control de backups: El registro de los backups y sus incidencias se realizaran en ficheros de log en la máquina encargada de realizar dicha tarea. d) Almacenamiento de los Backups: El almacenamiento para salvaguardar las copias del inventario se realizara en el almacenamiento en red (NAS). e) Reemplazo de los Backups, en forma periódica, antes que el medio de soporte se pueda deteriorar: Para evitar que las copias de seguridad puedan estropearse debido al deterior del soporte físico que las contienen. En este caso los discos magnéticos del NAS, estos deberán ser sustituidos cuando presente cierto nivel de deterioro y antes de que fallen de forma definitiva. IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- [email protected]
32
f)
Pruebas periódicas de los Backups, verificando su funcionalidad: Para garantizar que los procedimientos de creación y de restauración funcionan correctamente se recomienda realizar pruebas de recuperación del inventario al menos una vez por curso.
3) Backups de Datos: a) Periodicidad de Backups: Al tratarse de los ficheros del departamento, los cuales contienen datos de carácter personal. Estos debe cumplir con el artículo 94 del Real Decreto 3/2010, de 8 de enero. En el cual se estable la periodicidad mínimo de copias de respaldo de datos de carácter personal en una semana. Por los que los backups de datos o de cualquier plataforma que los contenga se realizaran con una prioridad semanal y esta se llevara a cabo durante el fin de semana en horario de madrugada. b) Respaldos del movimiento de información (backups diferenciales e incrementales): En el caso de los datos o cualquier plataforma que los contenga se realizaran copias incrementales diarias, ya que el movimiento de datos es bastante elevado a diario. Por lo cual este tipo de copia de seguridad es el más adecuado por ser la más rápida de realizar y la que menos espacio de almacenamiento requerido. c) Registro de incidencias y control de backups: El registro de los backups de datos y sus incidencias se realizaran en ficheros de log en la máquina encargada de realizar dicha tarea. d) Almacenamiento de los Backups: El almacenamiento para salvaguardar las copias de datos o cualquier plataforma que los contenga se realizara en un servidor local del IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- [email protected]
33
departamento. El cual se pueda usar para acceder a los datos y en el que se implemente algún medio de redundancia de datos como RAID o almacenamiento en red (NAS). e) Reemplazo de los Backups, en forma periódica, antes que el medio de soporte se pueda deteriorar: Para evitar que las copias de seguridad puedan estropearse debido al deterior del soporte físico que las contienen. En este caso los discos magnéticos de los servidores locales, estos deberán ser sustituidos cuando presente cierto nivel de deterioro y antes de que fallen de forma definitiva. Para evitar este tipo de riesgo se debe tomar algunas de las medidas propuestas en el apartado anterior. Del cual ya se dispone de un RAID 5 en el servidor Calisto. f)
Pruebas periódicas de los Backups, verificando su funcionalidad: Al igual que en el primer aparatado el artículo 94 del
Real Decreto 3/2010, de 8 de enero
establece que deben realizarse pruebas del correcto funcionamiento del proceso de creación y restauración de copias de seguridad con una periodicidad de seis meses.
4) Redundancia de Hardware:
Redundancia fuentes de alimentación de servidores: Como medida óptima de seguridad propuesta en el punto 4.7 a los fallos de fuentes de alimentación se proponen fuentes de alimentación redundantes. Para ello se debe de disponer de dos fuentes de alimentación redundantes para cada uno de los servidores. Por los cual debe emplearse el hardware necesario que permita la implementación de dicho sistema.
Redundancia de discos duros de servidores: Como medida óptima de seguridad propuesta en el punto 4.7 a los fallos en los discos duros de los servidores se propone IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- [email protected]
34
sistemas de redundancia como RAID o almacenamiento en de copias de seguridad realizadas sobre en NAS del que se dispone. Para ello se debe dotar a los servidores de los discos duros necesarios para la implementación de RAID en caso de ser este el método de redundancia de datos elegido. Por otra parte en NAS ya cuenta con un RAID 1 con capacidad de 2 TB. Redundancia de línea ADSL: Como medida óptima de seguridad propuesta en el punto 4.7 a los fallos de conexión a Internet se propone tener 2 líneas ADSL contratadas con distintas compañías con balanceo de carga entre ellas con un router (Mikrotik). Para ello se debe contratar una línea ADSL adicional y conectarlas mediante una máquina en la que tengamos implementado el software de router “Mikrotik” para convertir dicha máquina en un router que gestione las líneas ADSL. Redundancia de Switch: Como medida óptima de seguridad propuesta en el punto 4.7 a los fallos de los switches se proponen dos soluciones. La primera para el switch vlan del cual se debe tener otro switch de las mismas características, configurándolo con la misma configuración que el que se encuentra en funcionamiento. Una vez que ya se encuentre preparado para poderse usar en caso de emergencia se señalizara mediante una etiqueta indicando que es el switch vlan de reserva. Guardándolo en un lugar seguro al cual solo tenga acceso el profesorado. La segunda propuesta se centra en solventar los posibles fallos de los switch de las aulas. De los cuales como medida de protección se debe disponer de al menos un par de switches de iguales características a los que se encuentran en las aulas. En el caso de que existiesen varios tipos de switch, se debe de disponer de switches de reserva para cada uno de ellos. Para en caso de emergencia poder ser sustituidos en el menor tiempo posible.
IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- [email protected]
35
Redundancia de Cortafuegos: Como medida óptima de seguridad propuesta en el punto 4.7 a los fallos hardware que pueda sufrir el cortafuegos se propone disponer de un cortafuegos de reserva. Para ello se debe disponer de una máquina de similares características a la que actualmente actúa de cortafuegos e implementar en ella el software PfSense utilizado en el cortafuegos actual añadiendo las mismas configuraciones, reglas, filtros etc. que en el cortafuegos actual. Una vez que ya se encuentre preparado para poderse usar en caso de emergencia se señalizara mediante una etiqueta indicando que es el cortafuegos de reserva. Redundancia del servidor Web: Como medida óptima de seguridad propuesta en el punto 4.7 a los fallos que pueda sufrir el servidor Web se propone tener un segundo servidor web. Para esto se necesita otra máquina con el servicio Web implementado de la misma forma que en la página actual. De manera que en caso de que falle uno u otro servidor Web se redirecciones las peticiones al servidor que sigue prestando servicios.
Redundancia de NAS: Si fuese necesario debido al volumen de copias de seguridad que el departamento debe realizar para salvaguardar todo su sistema de información. Se debe de plantear la posibilidad de comprar un segundo NAS, para poder dividir la carga de trabajo entre los dos. Pudiendo así realizar las copias de seguridad en un menor tiempo y disponer de mayor espacio para poder guardar copias de más días anteriores por si surgiese algún contratiempo del cual su origen se remonta tiempo atrás. 6.1.2- Actividades durante el desastre. Presentada una contingencia o desastre se debe ejecutar las siguientes actividades planificadas previamente: IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- [email protected]
36
Definir y Establecer un Plan de Emergencias
En esta etapa se incluyen las actividades a realizar durante el desastre o siniestro. Este plan incluye la participación y actividades a realizar por todas y cada una de las personas que se pueden encontrar presentes en el área donde ocurre el siniestro, descritas a continuación:
a- Buscar Ayuda de Otros Entes: Se debe tener en cuenta que solo se debe realizar acciones de resguardo de equipos en los casos en que no se pone en riesgo la integridad física de las personas. Muchas veces durante el siniestro es difícil que las personas puedan afrontar esta situación, debido a que no cuentan con los elementos de seguridad adecuados o simplemente no están preparadas, por lo que las actividades para esta etapa de prevención de desastres en caso de no verse capacitado para afrontarlo personalmente deben estar dedicados a buscar ayuda inmediatamente para evitar que la acción del siniestro causen más daños o destrucciones.
-
Se debe disponer de los números de teléfono y direcciones de organismos e instituciones de ayuda, tales como: (Cuerpo de Bomberos, Hospitales, Centros de Salud, Ambulancias, Policía).
-
Todo el personal debe conocer la localización de vías de escape o salida. Debiendo estar estas debidamente señalizadas.
-
Formar al personal del departamento respecto a evacuación ante sismos, a través de simulacros, esto se realiza acorde a los programas de seguridad organizadas por la dirección del centro.
-
Ubicar y señalizar los elementos contra siniestros: tales como
extintores,
zonas
de
seguridad
(ubicadas
IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- [email protected]
37
normalmente en las columnas), donde el símbolo se muestra en color blanco con fondo verde.
-
Secuencia de llamadas en caso de emergencia: tener a la mano elementos de iluminación, lista de teléfonos de instituciones del primer apartado
b- Formación de Equipos: Se debe establecer claramente en cada uno de los equipos, las funciones que se deberán realizar en caso de desastre. En caso de que el siniestro lo permita, por estar en su inicio o afectar a un área cercana, etc., se debe formar dos equipos de personas que actúen directamente durante el siniestro, un equipo para combatir el siniestro y el otro para salvamento de los equipos informáticos más importantes, teniendo en cuenta la clasificación de prioridades establecidas en este documento.
c- Entrenamientos: Se debe llevar a cabo las acciones aprendidas en los programas de pruebas periódicas en las que han debido de participar todo el personal implicado en la lucha contra los diferentes tipos de contingencias, de acuerdo a los roles que se le haya asignado. Es importante lograr que el personal tome conciencia de que los siniestros (incendios, apagones, perdida de datos, inundaciones, terremotos, etc.) pueden
realmente
ocurrir;
y
tomen
con
seriedad
y
responsabilidad estos entrenamientos. 6.1.3- Actividades después del desastre. Una vez finalizada la contingencia, se debe ejecutar las siguientes actividades:
Definir y Establecer un Plan de Recuperación
En esta etapa se incluyen las actividades a después del desastre o siniestro. Este plan incluye las actividades de evaluación, priorización y ejecución necesarias para la recuperación de desastres o siniestros: IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- [email protected]
38
a- Evaluación de Daños.
Inmediatamente después que la contingencia haya acabado, se evaluará la magnitud de los daños producidos, estableciendo que sistemas están afectados, que equipos han quedado no operativos, cuales se pueden recuperar, y en cuanto tiempo, etc.
b- Priorización de actividades del Plan de Acción
Se deben de evaluar los daños reales que se han sufrido. Para así poder obtener una lista de las actividades que debemos realizar al comparándolas con el Plan de Acción, priorizando los servicios y aplicaciones primordiales para el departamento. Las actividades comprenden la recuperación y puesta en marcha de los equipos se llevara a cabo por orden prioritario, la recuperación de la información y la compra de los accesorios dañados, etc.
c- Ejecución de Actividades.
La ejecución de las actividades de recuperación implica la creación de equipos de trabajo para realizar las actividades previamente planificadas en el Plan de acción. Cada uno de estos equipos deberá contar con un coordinador que deberá anotar diariamente el avance de los trabajos de recuperación y en caso de producirse algún problema, reportarlo de inmediato a Jefatura. Los trabajos de recuperación tendrán dos etapas, la primera la restauración
de
los
servicios
usando
los
recursos
del
departamento y material de respaldo, y la segunda etapa es volver a contar con los recursos en las cantidades y lugares propios del Sistema de Información, debiendo ser esta última etapa lo suficientemente rápida y eficiente para perjudicar lo menos posible las actividades diarias del departamento de Informática.
d- Evaluación de Resultados. IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- [email protected]
39
Una vez finalizadas las actividades de recuperación del sistema o sistemas que fueron afectados por la contingencia, debemos de evaluar objetivamente, todas las actividades realizadas, como de bien se hicieron, cuanto tiempo llevo hacerlas, que circunstancias modificaron las actividades del plan de acción, como se comportaron los equipos de trabajo, etc. De esta evaluación y de la contingencia en sí, deberían de salir dos tipos de recomendaciones.
Una retroalimentación del plan de Contingencias.
Una lista de recomendaciones para minimizar los riesgos y pérdida que ocasionaron la contingencia.
e- Retroalimentación del Plan de Acción.
Con la evaluación de resultados, debemos de optimizar el plan de acción original, mejorando las actividades que tuvieron algún tipo de dificultad y reforzando los elementos que funcionaron adecuadamente. Otro elemento es evaluar cuál hubiera sido el costo de no haber dispuesto el departamento el plan de contingencia llevado a cabo.
6.2- Medidas contra riesgos de fuerza mayor:
Ante la posibilidad de tenerse que enfrentar en un momento dado a un desastre de origen natural tales como incendios, inundaciones, terremotos, etc. El personal del departamento tendrá estar preparado y debidamente formado. Para esto se tiene que llevar a cabo una serie de simulacros y pruebas periódicas y formar mediante cursos de prevención al personal del departamento. Esto cursos deben tener como objetivo formar al profesorado ante posibles desastres. Y se deben tratar entre otros los siguientes temas:
-
Conocer el origen y las causas de cada uno de estos tipos de riesgos. IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- [email protected]
40
-
Conocer cómo se debe actuar si se presentase uno de esto riesgos.
-
Conocer las medidas de seguridad que se deben adoptar.
-
Conocer el uso de los distintos tipos de equipos de antiincendios.
-
Conocer las vías y procedimientos de evacuación del centro.
7.- Documentación
Siguiendo las indicaciones del presente documento, podemos establecer que el departamento debe contar con los siguientes dos documentos, el documento de seguridad y el Plan de contingencia.
7.1- Documento de Seguridad
El Documento de Seguridad es un documento mediante el cual se elabora y adoptan las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos de carácter personal.
Según el artículo 88 del Capítulo II del Real Decreto 3/2010, de 8 de enero toda organización que realice tratamiento de datos de carácter personal debe redactar un documento de seguridad que recogerá las medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente. El documento de seguridad para los ficheros de carácter personal del departamento debe contener los siguientes aspectos mínimos atendiendo al nivel de seguridad que estos requieren, que en el caso del departamento es de nivel bajo:
a) Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
b) Medidas,
normas,
procedimientos
de
actuación,
reglas
y estándares
encaminados a garantizar el nivel de seguridad exigido en este reglamento.
c) Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros. IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- [email protected]
41
d) Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
e) Procedimiento de notificación, gestión y respuesta ante las incidencias.
f)
Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados.
g) Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes.
h) Cuando se produzcan
tratamientos de datos por cuenta de terceros, el
documento de seguridad deberá contener la identificación de los ficheros que se traten en concepto de encargado
i)
El documento de seguridad será revisado siempre que se produzcan cambios relevantes en el sistema de información, en el sistema de tratamiento empleado, en su organización, en el contenido de la información incluida en los ficheros o tratamientos.
Por los cual el responsable de los ficheros del departamento debe redactar con la mayor brevedad este documento para los ficheros con datos de carácter personal. Dicho documento podrá ser único para todos los ficheros personal o específico para cada fichero o conjunto de ficheros.
7.2- Documento del Plan de Contingencia.
Un plan de contingencia es un conjunto de procedimientos alternativos a la operatividad normal diaria. Cuya finalidad es la de permitir el funcionamiento de esta, aun cuando alguna de sus funciones deje de hacerlo por culpa de algún incidente tanto interno como ajeno a la organización.
El plan de contingencia se debe dividir en tres partes, actividades previas al desastre, actividades durante el desastre y actividades después del desastre. Cada una de estas partes debe a su vez contener los siguientes elementos: IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- [email protected]
42
-
Actividades previas al desastre: Definición y establecer un Plan de Acción:
Sistema de información.
Equipos de cómputo.
Inventario actualizado.
Señalización.
Respaldo de equipos.
Obtención y almacenamiento de los respaldos de Información (Backups):
Backups de Sistemas Operativos.
Backups de Aplicaciones.
Backups de Datos.
Redundancia de Hardware.
Políticas ( Normas y Procedimientos de Backups):
-
Backups de Sistemas Operativos.
Backups de Aplicaciones.
Backups de Datos.
Redundancia de Hardware.
Actividades durante el desastre. Definir y Establecer un plan de Emergencias:
-
Buscar ayuda en otros entes.
Formación de equipos.
Entrenamientos.
Actividades después del desastre. Definir y Establecer un Plan de Recuperación:
Evaluación de daños.
Priorización de actividades del Plan de Acción.
Ejecución de actividades.
Evaluación de resultados.
IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- [email protected]
43
Retroalimentación del Plan de Acción.
8.- Difusión y mantenimiento
Cuando se disponga del plan definitivo ya probado, es necesario hacer su difusión y capacitación entre las personas encargadas de llevarlo a cargo. El mantenimiento del plan comienza con una revisión del plan existente y se examina en su totalidad realizando los cambios en la información que pudo haber ocasionado una variación en el sistema y realizando los cambios que sean necesarios.
9.- Conclusión y soluciones
Como conclusión podemos observar que las medidas tomadas por parte del departamento, para garantizar la seguridad y privacidad del sistema de información, por lo general son escasas y presentan múltiples carencias.
Las carencias que se deben corregir son las siguientes:
-
Aunque se dispone de SAI por si el suministro eléctrico fallase se desconoce el estado de las baterías de este y su duración frente a la falta suministro eléctrico. Por lo cual sería recomendable sustituirlo por un SAI que nos permita y garantice una mayor autonomía.
-
No se dispone de fuentes de alimentación redundantes en los servidores. En el caso de que una de estas fuentes de alimentación fallen el servidor quedaría inoperativo. Por lo cual se recomienda adaptar el hardware de los equipos servidores para poder dotarlos de fuentes redundantes.
-
Solo se dispone de sistemas de redundancia de datos en el servidor Calisto el cual cuenta con un RAID 5. Por lo cual los servidores Ganimedes y Júpiter quedan expuesto a perdida de información. Los cuáles deberían contar al menos con un RAID 1 para poder recuperar la información en caso de un fallo en los discos.
-
Solo se dispone de una conexión ADSL de la cual depende la posibilidad de conectarse a la red externa. Por los cual se recomienda tener un par de líneas IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- [email protected]
44
ADSL de distintas compañías gestionadas mediante una máquina virtual con el software para router Mikrotik.
-
No se dispone de switch vlan de repuesto por lo cual se recomienda comprar uno de las características que está en uso configurarlo con la misma configuración para las redes vlan para caso de que este fallase.
-
Se recomienda implementar un segundo servidor Web para cuando el servidor actual quede inoperativo se pueda re-direccionar a este segundo servidor dando una mejor disponibilidad de la página web.
-
No se tiene una clara política de copias de seguridad. Por lo cual se recomienda realizar las copias de seguridad establecidas en el Plan de Acción. Redactando previamente el documento de seguridad y plan de contingencia.
-
Tampoco se dispone de espacio de almacenamiento suficiente para realizar la totalidad de las copias necesaria para salvaguardar la información del departamento. Por lo cual sería recomendable la adquisición de otro Dispositivo NAS de mayor capacidad intentando implementar sistemas de RAID 5 en los cuales se optimiza mejor el espacio que en el actual RAID 1.
-
Se debe formar al profesorado en materia de riesgos de fuerza mayor mediante charlas y cursos. Para estar formados y preparados en caso de verse afectado por uno de estos riesgos.
Referente a la Ley Orgánica de Protección Datos:
-
Se carece del Documento de Seguridad que el artículo 88 del Capítulo II del Real Decreto 3/2010, de 8 de enero, establece que toda organización que realice tratamiento de datos de carácter personal debe redactar.
-
No se tienen en cuenta las medidas de seguridad estipuladas al nivel de seguridad de los ficheros que se tratan, que se encuentra establecidas en el Título VIII del Real Decreto 1720/2007 para todos los niveles de seguridad.
IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- [email protected]
45
-
No se tienen en cuenta las medidas anteriores para los ficheros temporales o copias de trabajo como indica el artículo 87 del Título VIII del Real Decreto 3/2010, de 8 de enero.
-
No se notifican los ficheros de datos de carácter personal a la Agencia Española de Protección de Datos como indica el artículo 39 del Título VI de la Ley Orgánica 15/1999, de 13 de diciembre.
-
No se regulan el tratamiento por parte de terceros con las empresas colaboradoras de la FCT con el contrato correspondiente al artículo 12 del Título II de la Ley Orgánica 15/1999, de 13 de diciembre.
-
No se solicita autorización para tener copias de datos personales de SENECA en dispositivos portátiles a los responsables del fichero como se establece en el Título VIII del Real Decreto 1720/2007.
10.- Referencias / bibliografía
http://www.agpd.es/ http://www.boe.es/diario_boe/txt.php?id=BOE-A-1999-23750 http://www.boe.es/diario_boe/txt.php?id=BOE-A-2008-979 http://noticias.juridicas.com/base_datos/Admin/rd3-2010.html http://juntadeandalucia.es/boja/boletines/2011/11/d/updf/d2.pdf http://juntadeandalucia.es/boja/boletines/2004/200/d/updf/d1.pdf http://juntadeandalucia.es/boja/boletines/2008/43/d/updf/d39.pdf http://www.ub.edu.ar/catedras/ingenieria/auditoria/tpmetodo/tpmetodo2.htm#Cuestionarios
11.- Anexos
ANEXO I
Manuales para la inscripción de los ficheros de carácter personal.
1- Ficheros de Titularidad Privada IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- [email protected]
46
https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros/Notific aciones_tele/obtencion_formulario/common/pdfs/ManualdelformularioelectronicoN OTATitularidadPRIVADA.pdf
2- Ficheros de Titularidad Pública https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros/Notific aciones_tele/obtencion_formulario/common/pdfs/ManualdelformularioelectronicoN OTATitularidadPublica.pdf
ANEXO II
Contrato de tratamiento por parte de terceros. https://drive.google.com/file/d/0B5C8BGdShIizdDFUbFZDTzhEak0/view?usp=sharing ANEXO III
Documento para la solicitar la autorización a trabajar con dispositivos móviles fuera de los locales del centro educativo.
IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- [email protected]
47
IES Gran Capitán -- C/. Arcos de la Frontera, S/N -- 14014 Córdoba -- 957-379710 http://www.iesgrancapitan.org – http://www.iesgrancapitan.org/blog04 -- [email protected]
48