{"id":31,"date":"2020-01-16T06:58:43","date_gmt":"2020-01-16T05:58:43","guid":{"rendered":"http:\/\/esferas.org\/mldt\/?p=31"},"modified":"2020-01-16T07:05:29","modified_gmt":"2020-01-16T06:05:29","slug":"describiendo-las-copias-de-seguridad-a-los-jefes","status":"publish","type":"post","link":"https:\/\/esferas.org\/mldt\/describiendo-las-copias-de-seguridad-a-los-jefes\/","title":{"rendered":"Describiendo las copias de seguridad a los jefes"},"content":{"rendered":"\n<p class=\"has-text-align-right\">Jueves, 16 de enero de 2020<\/p>\n\n\n\n<p>En un largo correo electr\u00f3nico que a\u00fan queda por discutir pero que necesita escribir, entre otros muchos, para que supiesen cu\u00e1nto queda por hacer y en qu\u00e9 situaci\u00f3n estamos.<\/p>\n\n\n\n<!--more-->\n\n\n\n<p>Transcribo a continuaci\u00f3n el texto tal y como se lo envi\u00e9 ayer.<\/p>\n\n\n\n<hr class=\"wp-block-separator\"\/>\n\n\n\n<h4 class=\"wp-block-heading\">El concepto copias de seguridad <br \/>\n    <\/h4>\n\n\n\n<p>Hay varios escenarios en los que es imprescindible tener un\n      respaldo de archivos y servicios:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Falla en un programa que requiera recuperar una versi\u00f3n\n        anterior de una informaci\u00f3n (bien sea una hoja de c\u00e1lculo o un\n        registro en una base de datos).<\/li><li>Falla en un componente f\u00edsico, generalmente un disco, que\n        necesite reinstalar un programa y darle acceso a los datos de\n        nuevo<\/li><li>Falla en todo un sistema que requieran adquirir un equipo\n        nuevo, almacenamiento incluido, instalar el sistema operativo,\n        los programas y su configuraci\u00f3n, y los datos que gestionan.\n        Esto puede deberse a:<ul><li>Aver\u00eda grave en la CPU o en uno o varios de los discos (un\n          incendio en la nave, por ejemplo).<br \/>\n        <\/li><li>Sabotaje externo procedente de un programa <em>malware<\/em>:\n          la amenaza de los programas de secuestro de informaci\u00f3n (<em>ransomware<\/em>)\n          es mucho m\u00e1s real que antes dado que estamos empleando\n          Windows. <br \/>\n        <\/li><\/ul><\/li><\/ul>\n\n\n\n<p>La empresa actualmente puede enfrentar lo siguiente:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Puede recuperar archivos y bases de datos casi en su\n        totalidad. Faltan los archivos personales de las m\u00e1quinas\n        Windows. <br \/>\n      <\/li><li>Los componentes f\u00edsicos como los discos est\u00e1n instalados en\n        pares en los servidores. Que los dos fallen al mismo tiempo es\n        improbable si se debe a un fin de vida del dispositivo.\n        Razonablemente cubiertos.<\/li><li>La respuesta ante un incidente catastr\u00f3fico tiene dos\n        vertientes: <br \/>\n      <ul><li>La renovaci\u00f3n completa de un equipo s\u00f3lo est\u00e1 disponible\n          parcialmente en los equipos de usuario, especialmente si\n          llevan Linux. Los sistemas Windows requieren m\u00e1s tiempo de\n          instalaci\u00f3n, actualizaci\u00f3n y ajustes, as\u00ed como posiblemente\n          comprar nuevas licencias porque est\u00e1n asociadas \u00edntimamente a\n          las m\u00e1quinas. El tiempo de despliegue se puede medir en d\u00edas y\n          no en horas. <br \/>\n        <\/li><li>En el caso de servidores la respuesta, con suerte, ser\u00eda de\n          d\u00edas. Tendr\u00edamos que adquirir equipos de gama media\/alta como\n          servidores, instalar y recuperar configuraci\u00f3n de sistemas\n          operativos al completo (factible porque est\u00e1n respaldados) y\n          hacer lo mismo con los programas y sus datos. <br \/>\n        <\/li><\/ul><\/li><li>No tenemos a d\u00eda de hoy ning\u00fan plan de contingencia, ni\n        presupuesto disponible, para afrontar nada de esto. Existen\n        programas que automatizan la recuperaci\u00f3n ante estas\n        situaciones, los tengo echados un ojo pero no he llegado nunca a\n        tener tiempo de aprenderlos y probarlos.<\/li><\/ul>\n\n\n\n<p>Una de las ventajas que tiene alquilar servidores fuera es que de\n      todo lo anterior se encargan ellos y t\u00fa puedes moverte con m\u00e1s\n      libertad, incluso anticip\u00e1ndote a la falla f\u00edsica del servidor. La\n      desventaja es un coste m\u00e1s directo, claro. <br \/>\n    <\/p>\n\n\n\n<p>Si me he expresado bien te dar\u00e1s cuenta de que existen dos\n      aspectos: uno es d\u00f3nde y c\u00f3mo pones a salvo la informaci\u00f3n, otro\n      es c\u00f3mo de preparado est\u00e1s para recuperar el servicio. <br \/>\n    <\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Servicios contra archivos<\/h4>\n\n\n\n<p>Como cualquier empresa moderna tenemos dos tipos de sistemas de\n      informaci\u00f3n: uno est\u00e1 basado en archivos, otro en aplicaciones.\n      Las copias de seguridad raramente est\u00e1n orientadas a las\n      aplicaciones (servicios) dado que estas pueden tener instalaciones\n      imposibles de anticipar y es mejor hacerlo a mano. <br \/>\n    <\/p>\n\n\n\n<p>El sistema de informaci\u00f3n basado en archivos es simple:\n      documentos de texto, hojas de c\u00e1lculo, PDF, &#8230; y programas que\n      los manipulan que pueden instalarse con facilidad. <br \/>\n    <\/p>\n\n\n\n<p>El servicio es una mezcla de todo lo anterior. Por ejemplo el\n      caso de un ERP como Odoo en nuestro servidor: <br \/>\n    <\/p>\n\n\n\n<ol class=\"wp-block-list\"><li>Emplea una base de datos relacional y esto significa:<ol><li>Un programa que gestiona una base de datos (PostgreSQL) con\n          su configuraci\u00f3n y sus conexiones de red.<\/li><li>Un sistema de archivos opaco donde termina guardando datos.\n          <br \/>\n        <\/li><\/ol><\/li><li>Una aplicaci\u00f3n (odoo) conectada con la base de datos que a su\n        vez tambi\u00e9n necesita una configuraci\u00f3n en forma de archivos en\n        el sistema<\/li><li>Una aplicaci\u00f3n que da acceso al exterior a odoo en forma de\n        servidor web. El programa nginx tambi\u00e9n necesita una\n        configuraci\u00f3n concreta.<\/li><\/ol>\n\n\n\n<p>Si algo de lo anterior falla el servicio puede darse por fallido.\n      Como pueden residir en m\u00e1quinas distintas los programas de <em>backup<\/em>\n      nunca los tienen en cuenta como tales. Poner en marcha algo como\n      el ERP requiere de muchas horas de trabajo manual actualmente.\n      Poco a poco voy trabajando en ello pero dista mucho de estar\n      siquiera disponible. Aunque, eso s\u00ed, hemos ganado bastante\n      separando las instalaciones en dos m\u00e1quinas y las bases de datos\n      en dos en cada una. Un punto que me puedo anotar, que falta me\n      hace. <br \/>\n    <\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Regla del 3 2 1<br \/>\n    <\/h4>\n\n\n\n<p>La regla 3, 2, 1 para las copias de seguridad es un enfoque muy\n      razonable (y muy empleado \u00faltimamente) para respaldar sistemas, y\n      es el que estoy intentando aplicar en Venexma. <br \/>\n    <\/p>\n\n\n\n<p>Consiste en lo siguiente:<\/p>\n\n\n\n<ol class=\"wp-block-list\"><li>Realizar al menos tres copias de seguridad de cada aspecto o\n        servicio (luego hablo m\u00e1s de esto).<\/li><li>Que est\u00e9n en dos formatos f\u00edsicos diferentes o realizados con\n        dos programas distintos. <br \/>\n      <\/li><li>Que la tercera copia est\u00e9 f\u00edsicamente fuera de la instalaci\u00f3n.<\/li><\/ol>\n\n\n\n<p>Las copias de seguridad en realidad consisten en copiar archivos\n      de un sitio a otro con seguridad: que nadie pueda colarse en la\n      transmisi\u00f3n y que el contenido sea fiel al original. El problema\n      es que no todos los datos est\u00e1n accesibles como archivos simples.\n      Algunos son programas que necesitan una instalaci\u00f3n especial, no\n      basta con una copia, y en otros casos como las bases de datos es\n      necesario que el propio programa extraiga la informaci\u00f3n en un\n      formato que pueda ser reinsertado despu\u00e9s en otra instalaci\u00f3n o en\n      la misma en caso de desastre. <br \/>\n    <\/p>\n\n\n\n<h5 class=\"wp-block-heading\">Copia de seguridad fuera de las instalaciones<\/h5>\n\n\n\n<p>Es un caso especial porque al tratarse de uno o varios discos\n      donde guardar un respaldo de la informaci\u00f3n de la empresa presenta\n      un problem\u00e1tica muy espec\u00edfica: cualquiera que se haga con el\n      disco tiene empaquetada y lista para usar toda la informaci\u00f3n\n      cr\u00edtica: bases de datos, documentos, programas, contrase\u00f1as,\n      certificados, historiales, &#8230; <br \/>\n    <\/p>\n\n\n\n<p>As\u00ed que hay que asegurarse de que el mecanismo tenga varias\n      caracter\u00edsticas:<\/p>\n\n\n\n<ol class=\"wp-block-list\"><li>Tiene que estar disponible cuando los programas de respaldo lo\n        necesiten y no siempre. Esto impide que los virus, por ejemplo,\n        puedan arrasar tambi\u00e9n las copias de seguridad dado que est\u00e1n en\n        l\u00ednea para todo el mundo. <br \/>\n      <\/li><li>Debe ser in\u00fatil si alguien lo substrae o es perdido. Para eso\n        se puede emplear el cifrado de discos. Un mecanismo muy probado\n        y empleado en todo el mundo desde hace a\u00f1os. <br \/>\n      <\/li><li>Debe poder ser trasladado con facilidad sin perder ninguna de\n        las dos condiciones (por ejemplo de una nave a un domicilio\n        particular)<br \/>\n      <\/li><\/ol>\n\n\n\n<p>La buena noticia es que ya he trabajado sobre este tema y est\u00e1\n      casi completado. Estoy escribiendo unos programas que se aseguran\n      de cifrar la informaci\u00f3n del disco y guardar la clave en un lugar\n      de nuestra red interna y al mismo tiempo tenerlo disponible bajo\n      demanda. Precisa de pruebas, especialmente de seguridad y acceso\n      remoto, pero dir\u00eda que est\u00e1 acabado en un 80%. <br \/>\n    <\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Recuperaci\u00f3n de copias<\/h4>\n\n\n\n<p>Se dice que una copia de seguridad est\u00e1 siempre en un estado de\n      incertidumbre hasta que no se prueba a restaurar. Es muy posible\n      haber estado guardando datos corruptos durante mucho tiempo y\n      darlos como v\u00e1lidos porque no se ha verificado su contenido. <br \/>\n    <\/p>\n\n\n\n<p>Por ejemplo, un ataque de <a href=\"https:\/\/es.wikipedia.org\/wiki\/Ransomware\">ransomware<\/a>\n      puede haberse sufrido en silencio semanas atr\u00e1s y haber estado\n      cifrando archivos y destruyendo informaci\u00f3n sin que nadie se\n      percate. Por supuesto estos datos se guardan en las copias y como\n      el espacio no es infinito, cuando \u00e9ste falta se borran las m\u00e1s\n      antiguas (que es lo que pas\u00f3 durante mi baja laboral con odoo). Un\n      fallo en el programa de copias tambi\u00e9n puede estar guardando\n      informaci\u00f3n corrupta, no es necesario que sea algo adrede como con\n      los virus. <br \/>\n    <\/p>\n\n\n\n<p>Los problemas de recuperar copias de seguridad son dos,\n      simplificando bastante:<\/p>\n\n\n\n<ol class=\"wp-block-list\"><li>Disponer de espacio donde poder restaurar los datos porque no\n        es factible hacerlo sobre la informaci\u00f3n activa. <br \/>\n      <\/li><li>Disponer de un mecanismo para probar que los datos obtenidos\n        son correctos. <br \/>\n      <ol><li>Bien que el programa (como odoo) pueda cambiar de escenario\n          y trabajar con los datos restaurados para ver si son\n          correctos. Y, mejor a\u00fan, que tenga alguna opci\u00f3n que permita\n          comprobarlos todos. El programa Atila de Adriano era\n          justamente eso: un verificador de datos en conjunto y\n          trabajaba todas las noches. <br \/>\n        <\/li><li>Bien que exista otro programa que verifique que los archivos\n          sigan siendo lo que su nombre indica: im\u00e1genes, hojas de\n          c\u00e1lculo, documentos de texto, &#8230; <br \/>\n        <\/li><\/ol><\/li><\/ol>\n\n\n\n<p>Venexma actualmente no tiene ning\u00fan plan ni mecanismo de\n      restauraci\u00f3n de datos de programas (de servicios), aunque s\u00ed de\n      archivos compartidos. Esa parte est\u00e1 cubierta por el <a href=\"https:\/\/backups.venexma.net\">software\n        de copias<\/a> que mantiene diferentes versiones de las copias\n      durante mucho tiempo y ahorrando espacio en disco.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Resumiendo<\/h4>\n\n\n\n<p>Respecto al concepto de seguridad de informaci\u00f3n (no entramos en\n      nada que tenga que ver con seguridad de redes y sistemas) la\n      situaci\u00f3n actual es la siguiente:<\/p>\n\n\n\n<ol class=\"wp-block-list\"><li>Copias de seguridad: automatizadas en servidores principales y\n        en las m\u00e1quinas Linux individuales (V\u00edctor y Gru\u00f1\u00f3n). Pendiente\n        de realizar las copias de datos personales de Windows. <br \/>\n      <\/li><li>Regla de 3 2 1: <br \/>\n      <ol><li>Realizar tres copias: s\u00f3lo se realizan dos<\/li><li>En dos formatos distintos: cubierto al 50%.<\/li><li>Una de ellas fuera de las instalaciones: casi completada. <br \/>\n        <\/li><\/ol><\/li><li>Recuperaci\u00f3n de datos:<ol><li>Los archivos individuales recuperables por programa al 100%<br \/>\n        <\/li><li>Los volcados de bases de datos recuperables por programa al\n          100%<\/li><li>La importaci\u00f3n de volcados de bases de datos recuperables <strong>manualmente<\/strong>.\n          <br \/>\n        <\/li><\/ol><\/li><li>Respaldo de servicios: todo lo que ata\u00f1e a este tema es <strong>manual<\/strong>.\n        No hay nada planificado y s\u00f3lo existe documentaci\u00f3n parcial\n        sobre ello. <br \/>\n      <\/li><li>Planes de contingencia ante desastres completos:<ol><li>Recuperaci\u00f3n de elementos individuales como discos,\n          enrutadores y dem\u00e1s: <strong>manual<\/strong> y no documentado<\/li><li>Recuperaci\u00f3n de sistemas completos: todo <strong>manual<\/strong> y\n          sin un proceso documentado tampoco. <br \/>\n        <\/li><\/ol><\/li><\/ol>\n\n\n\n<p>Queda mucho por hacer si queremos que la empresa est\u00e9 mejor\n      preparada ante cat\u00e1strofes y para reducir la dependencia de\n      personal y medios externos. La dependencia cero no es posible.\n      Espero que en eso estemos de acuerdo, pero s\u00ed que se puede reducir\n      mucho si lo anterior est\u00e1 documentado y probado.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Jueves, 16 de enero de 2020 En un largo correo electr\u00f3nico que a\u00fan queda por discutir pero que necesita escribir, entre otros muchos, para que supiesen cu\u00e1nto queda por hacer y en qu\u00e9 situaci\u00f3n estamos.<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"webmentions_disabled_pings":false,"webmentions_disabled":false,"footnotes":""},"categories":[16],"tags":[14,15,20],"class_list":["post-31","post","type-post","status-publish","format-standard","hentry","category-explicaciones","tag-backups","tag-informes","tag-jefes","content-box"],"_links":{"self":[{"href":"https:\/\/esferas.org\/mldt\/wp-json\/wp\/v2\/posts\/31","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/esferas.org\/mldt\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/esferas.org\/mldt\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/esferas.org\/mldt\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/esferas.org\/mldt\/wp-json\/wp\/v2\/comments?post=31"}],"version-history":[{"count":4,"href":"https:\/\/esferas.org\/mldt\/wp-json\/wp\/v2\/posts\/31\/revisions"}],"predecessor-version":[{"id":35,"href":"https:\/\/esferas.org\/mldt\/wp-json\/wp\/v2\/posts\/31\/revisions\/35"}],"wp:attachment":[{"href":"https:\/\/esferas.org\/mldt\/wp-json\/wp\/v2\/media?parent=31"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/esferas.org\/mldt\/wp-json\/wp\/v2\/categories?post=31"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/esferas.org\/mldt\/wp-json\/wp\/v2\/tags?post=31"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}