Respaldo y Recuperación de Datos

5.5.1.1. ¿Cuáles son las necesidades de respaldo de la organización?
Todas las organizaciones dependen de la información, y si se llegase a dar una pérdida de datos implica también en perdida de dinero, es por ello que los respaldos son parte crucial de la organización.

5.5.1.2. ¿Cuáles son las expectativas administrativas de respaldo y recuperación?
- La principal expectativa es la integridad de los datos
- Que no haya fuga de información
- Que la recuperación de la información sea lo más rápida posible.
- Que los respaldos sean lo más actualizados posibles

5.5.1.3. ¿Qué personal se encarga del proceso de respaldo y recuperación?

Debe ser un encargado especifico para esa tarea, designado por el gerente de informática. O en tal caso el encargado de centro del cómputo.

5.5.1.4. ¿Cómo afectan las regulaciones de conformidad (Leyes sobre administración de información: Acta del Patriota, HIPAA, Sarbanes Oxley,) su proceso de respaldo y recuperación?

Primeramente tenemos que conocer un poco de lo que es cada uno de los documentos, por ejemplo: El Acta del Patriota:

La Ley Patriótica (Patriotic Act), denominada en inglés USA PATRIOT Act, es un acta del Congreso de los Estados Unidos que el presidente George W. Bush promulgó como ley el 26 de octubre de 2001. Su objetivo es restringir una serie de derechos constitucionales, a fin de ampliar el poder represivo del Estado sin la intervención del poder judicial, a fin de garantizar la seguridad nacional y combatir el terrorismo. La misma ha sido severamente criticada por organismos de derechos humanos debido a la restricción de las libertades y garantías constitucionales y ha sido considerada inconstitucional por varios tribunales.
Sanción y contenido
Su nombre oficial en inglés, “USA PATRIOT” es un acrónimo proveniente de la siguiente frase: Uniendo y Fortaleciendo América mediante la Provisión de Apropiadas Herramientas Requeridas para Interceptar y Obstruir el Terrorismo (Uniting and Strengthening América by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism). El acrónimo “USA PATRIOT” genera a su vez un slogan nacionalista equivalente a “ESTADOS UNIDOS PATRIÓTICO”.

El Acta fue aprobada cuarenta y cinco días después de los atentados del 11 de septiembre de 2001 y su objetivo fue ampliar sustancialmente los poderes represivos del Estado con el fin declarado de combatir el terrorismo, sin necesidad de orden judicial, tanto dentro como fuera de Estados Unidos, restringiendo una serie de derechos constitucionales. Entre sus previsiones, el Acta Patriótica incrementa las facultades de las agencias represivas para vigilar las comunicaciones telefónicas y de correo electrónico, así como los registros públicos y privados (médicos, financieros, libros solicitados en las bibliotecas, etc.); reduce las restricciones para acciones de inteligencia en otros países; aumenta el poder de la Secretaría del Tesoro para regular el mercado financiero; y concede poder discrecional a las autoridades policiales y migratorias para detener y deportar a inmigrantes, cuando se invoque que los mismos están sospechados de estar relacionados con el terrorismo. El Acta Patriótica también amplía la definición de terrorismo, con el fin de incluir actividades realizadas por ciudadanos estadounidenses y actos que antes no eran considerados como tal.

Después de conocer un poco lo que el Acta del Patriota, podemos exponer que esto no nos afecta en nuestro ambiente ya que nuestra organización no está ubicada geográficamente en Estados Unidos y esta ley afecta a toda organización que esté dentro del territorio Estadounidense

Ahora conozcamos un poco sobre el HIPAA

HIPAA es la ley federal de 1996 que se conoce como Ley de “Portabilidad” y Responsabilidad del Seguro Médico. La meta fundamental de la ley era facilitar a las personas el mantener un seguro médico, proteger la confidencialidad y la seguridad de la información del cuidado médico y ayudar a la industria del cuidado de la salud a controlar los costos administrativos.
HIPAA se divide en cinco títulos o secciones. Cada título trata un aspecto único de la reforma del seguro de salud. El Título I ya vigente es la movilidad (“portabilidad”). La movilidad permite a las personas llevar su seguro médico de un trabajo a otro para que no tengan un lapso en la cobertura. También restringe a los planes médicos de requerir condiciones preexistentes a personas que cambian un plan médico a otro.

El Titulo II se conoce como la Simplificación Administrativa y tendrá un impacto mayor para los proveedores. Se diseñó para:
• Combatir el fraude y abuso en el cuidado de la salud;
• Garantizar la seguridad y la privacidad de la información médica;
• Establecer estándares para la información y transacciones médicas y
• Reducir el costo del cuidado médico mediante la estandarización de la manera en que la industria comunica la información.
Los títulos restantes son:
• Título III – Disposiciones de Salud Relacionadas a Impuestos
• Título IV – Aplicación y Cumplimiento de los Requisitos de Planes Grupales de Salud
• Título V – Retenciones de Ingresos
¿Qué es la Simplificación Administrativa?

La Simplificación Administrativa es el establecimiento de un conjunto de estándares para recibir, transmitir y mantener información del cuidado médico y asegurar la privacidad y seguridad de la información identificable de una persona. HIPAA establece estándares para transacciones electrónicas del cuidado de la salud, conjuntos de códigos nacionales e identificación única para los proveedores, los planes de salud, los patronos y las personas.

Los requisitos de información electrónica de HIPAA tienen la intención de alentar a la industria del cuidado médico a mover el manejo y transmisión de la información del paciente de sistemas manuales a sistemas electrónicos para mejorar la seguridad, bajar los costos y bajar las tasas de error.

¿Cuáles son las Medidas Específicas de la Simplificación Administrativa?
• Conjuntos de Transacciones y Códigos – HIPAA ordena el desarrollo y uso de transacciones estandarizadas para el intercambio electrónico de información. Además requiere el uso de conjuntos de códigos nacionales estandarizados para identificar condiciones médicas, tratamientos, proveedores, personas, y procedimientos.

• Privacidad – Provee para la protección de información de salud individualmente identificable que se transmite o mantiene mediante cualquier forma o medio. Estas reglas se finalizaron y entraron y se ordenó su implementación para el 14 de abril de 2003. La regla de privacidad afecta las operaciones cotidianas de negocio de todas las organizaciones que proveen cuidado médico y que mantienen información personal de salud.

• Estándares de Seguridad – Los estándares de seguridad se diseñaron para proteger la información del cuidado médico mientras se almacena e intercambia. También incluyen medidas para corroborar la identidad de aquéllos que envían y reciben electrónicamente información de cuidado médico.

¿Qué Requiere la Regla de Privacidad?
A los proveedores se les requiere que:
1. Garanticen los derechos a la privacidad del paciente al:
o Entreguen a los pacientes explicaciones claras, por escrito de cómo el proveedor podría utilizar y revelar su información de salud;
o Aseguren que los pacientes puedan ver y obtener copias de sus expedientes y solicitar correcciones;
o Hagan un historial de revelaciones no rutinarias accesible a los pacientes;
o Obtengan el consentimiento del paciente antes de compartir su información para tratamiento, pago y actividades del cuidado médico;
o Obtengan la autorización del paciente para las revelaciones no rutinarias y la mayoría de los propósitos no relacionados al cuidado médico y
o Permitan a los pacientes solicitar restricciones en los usos y revelaciones de su información
2. Adopten procedimientos de privacidad por escrito que incluyan:
o Quién tiene acceso a la información protegida,
o Cómo se utilizará dentro de la agencia y
o Cuándo la información se revelará.
3. Se aseguren que los asociados del negocio protejan la privacidad de la información de salud.
4. Enseñen a los empleados los procedimientos de privacidad del proveedor.
5. Designen un oficial de privacidad que es responsable de asegurarse que los procedimientos de seguridad se cumplen.
Después de conocer un poco sobre esta ley, podemos resumir que esta ley trata sobre la privacidad de la información que los pacientes tienen de sus expedientes médicos, por tanto en el proceso de respaldo y recuperación de datos de nuestra organización no influye para nada.

Veamos lo que es Sarbanes Oxley

La Ley Sarbanes Oxley, cuyo título oficial en inglés es Sarbanes-Oxley Act of 2002, Pub. L. No. 107-204, 116 Stat. 745 (30 de julio de 2002), es una ley de Estados Unidos también conocida como el Acta de Reforma de la Contabilidad Pública de Empresas y de Protección al Inversionista. También es llamada SOx o SarbOx.
La Ley Sarbanes Oxley nace en Estados Unidos con el fin de monitorear a las empresas que cotizan en bolsa, evitando que las acciones de las mismas sean alteradas de manera dudosa, mientras que su valor es menor. Su finalidad es evitar fraudes y riesgo de bancarrota, protegiendo al inversor.
Esta ley, más allá del ámbito nacional, afecta a todas las empresas que cotizan en NYSEC (Bolsa de Valores De Nueva York), así como a sus filiales.
Introducción
La Ley Sarbanes-Oxley es una Ley federal de Estados Unidos que ha generado mucha controversia, ya que esta Ley va en respuesta a los escándalos financieros de algunas grandes corporaciones, entre los que se incluyen los casos que afectan a Enron, Tyco International, WorldCom y Peregrine Systems. Estos escándalos hicieron caer la confianza de la opinión pública en los sistemas de contabilidad y auditoría. La Ley toma el nombre del senador Paul Sarbanes (Demócrata) y el congresista Michael G. Oxley (Republicano). La Ley fue aprobada por amplia mayoría, tanto en el congreso como el senado. La legislación abarca y establece nuevos estándares para los consejos de administración y dirección y los mecanismos contables de todas las empresas que cotizan en bolsa en los Estados Unidos. Introduce responsabilidades penales para el consejo de administración y establece unos requerimientos por parte de la SEC (Securities and Exchanges Commission), es decir, la comisión reguladora del mercado de valores de Estados Unidos. Los partidarios de esta Ley afirman que la legislación era necesaria y útil, mientras los críticos creen que causara más daño económico del que previene.

La primera y más importante parte de la Ley establece un nueva agencia cuasi pública, “the Public Company Accounting Oversight Board”, es decir, una compañía reguladora encargada de revisar, regular, inspeccionar y disciplinar a las auditoras. La Ley también se refiere a la independencia de las auditoras, el gobierno corporativo y la transparencia financiera. Se considera uno de los cambios más significativos en la legislación empresarial, desde el “New Deal” de 1930.

Después de conocer un poco sobre esta ley podemos resumir que esta ley no afecta para nada nuestro proceso de respaldo y recuperación de datos.

5.5.1.5. Adicionalmente, ocúpese del proceso real de respaldar datos, como sigue:

5.5.1.6. ¿Cómo realizará usted el respaldo?
Los diferentes sistemas operativos tienen herramientas para realizar un backup, así que podemos hacer uso de tal herramienta para realizar nuestros respaldos.

5.5.1.7. ¿Cuándo tendrá lugar?
Por la importancia, la realizaría dos veces a la semana

5.5.1.8. ¿Cómo almacenaran los datos de respaldo y dónde?
- Los datos los almacenaremos de la forma siguiente:
- Una copia en un servidor fuera de la organización
- Una copia en un servidor dentro de la misma organización
- Dos copias en discos (medios físicos)

5.5.1.9. ¿Qué tipo de auditorías necesitarán para cumplir con las regulaciones de conformidad?

El Proceso de Auditoría es un registro mostrando a los detalles sobre quién ha tenido acceso a un sistema, operaciones realizadas y el tiempo de acceso. Un proceso de auditoría es el descubrimiento de interferencia componente esencial y recuperar datos perdidos.

El proceso de auditoría es una secuencia cronológica de archivos que contienen pruebas en cuanto a la función de sistema. Los procesos de auditoría son críticos para mantener la seguridad y remontar la causa de la pérdida de datos si alguno. Los productos de software de proceso de auditoría habilitan administraciones de red para supervisar el uso de recursos de red.

La pérdida de datos es causada debido a cualquier daño lógico o físico a los medios de almacenaje. Sin embargo las técnicas para ser aplicadas en los medios de almacenaje dependen de la causa de la pérdida de datos. Algunas técnicas de recuperación de datos son:
• Recuperación de datos lógica
En una situación de pérdida de datos cuando el disco duro es perfectamente la multa y el BIOS reconoce el disco duro, pero relata un error leído, la técnica de recuperación de datos lógica es muy provechosa. Aquí los archivos que son dañados o corrompidos por cualquier error de usuario o ataque de virus son reconstruidos más bien que reparar el disco duro.

• Fragmentación
Cuando la entrada GORDA es perdida durante el borrado de archivos casual, formateando o eliminación de partición que el bloque particular del disco duro se hace inaccesible. Algún software de recuperación de datos hace una tentativa de reconstruir los archivos sin una entrada GORDA. Esta técnica es muy eficiente si el tamaño de archivo es más pequeño que el tamaño de racimos. Pero son ineficaces en la recuperación los archivos más grandes.

• MFM (Microscopia de Fuerza Magnética)
El MFM es la última técnica que usa una punta aguda adjuntada a un voladizo flexible colocado cerca de la superficie del dispositivo dañado donde esto se relaciona con el campo magnético vago. Mientras la punta se mueve a través del dispositivo magnético, es evaluado para descubrir los datos perdidos. La técnica resulta cada pista que contiene una imagen de todo alguna vez escrito a ello, y finalmente recupera los datos perdidos.