AA13-Ev1-Elaboración del Plan de Gestión de Riesgos (PGR)

CARMEN SOFIA MORA PEREZ

LUZ MARY NIÑO MEDINA
HUMBERTO RUIZ ROA

Presentado a:
JAVIER ALVAREZ VARGAS

Servicio Nacional de Aprendizaje SENA

Regional Distrito Capital. Centro de Servicios Financieros.
Especialización en GESTION Y SEGURIDAD DE BASES DE DATOS (1564957)
Fase Ejecución (Gaes 5)
Abril 2018
 Introducción

El objetivo del presente documento es mostrar el plan de gestión de riesgos el cual

permite la identificación de las posibles acciones para contrarrestar los riesgos y su impacto

sobre los niveles de servicio que se definieron sobre las bases de datos de la alcaldía y

procesos asociados a la administración de esta. El plan debe está basado en la información de

los casos de estudio de la Alcaldía de San Antonio del Sena y contempla los siguientes

puntos:

• Alcance del plan de gestión del riesgo

• Roles y responsabilidades

• Presupuesto

• Periodicidad

• Categorías del riesgo

• Inventario de activos expuestos

 Contexto de la Organización

La alcaldía de San Antonio del SENA cuenta con las siguientes secretarias y

dependencias, las cuales apoyan la gestión del alcalde Juan Pedro. A nivel tecnológico cada

secretaria y/o dependencia tiene unas características particulares y unas limitaciones propias

que a continuación se presentan de forma rápida, con el objetivo de tener un contexto general

de la alcaldía para realizar el Plan de Gestión de Riesgos.

- Secretaría General

Apoya los procesos para asistir al alcalde de San Antonio del SENA en la

planeación, organización, control ejecución de los programas de su administración.

Vela por el cumplimiento de las normas legales que regulan el funcionamiento de la

alcaldía

- Secretaría de Hacienda

Recauda, registra y procesa la información económica de la administración

municipal. Fija las políticas para el cobro de aportes, participaciones y servicios de

la nación, departamento, instituciones oficiales y semioficiales. Expide certificados

de Paz y Salvo por pago de impuesto

- Secretaría de Gobierno

Evalúa los programas y campañas de la administración municipal para

garantizar los derechos y bienes de los habitantes del municipio, recibe y da trámite

a las querellas interpuestas por los ciudadanos.

- Secretaría de Planeación y Obras Públicas

Trabaja con proyectos para el desarrollo social, direcciona los proyectos en

materia de obras públicas, estratificación y actualización catastral. Trabaja en planes

de prevención y atención de desastres

- Secretaría de Educación

Representa y trabaja por la calidad y cobertura educativa. Orienta la

elaboración y ejecución de proyectos educativos

- Secretaría de Salud

Vigila la salud pública, gestiona la prestación de servicios de salud y

promoción de planes, programas, estrategias y proyectos en salud para el desarrollo

del sector y del sistema general de seguridad social

- Secretaría de Deportes Recreación y Cultura

Ejecuta programas destinados al aprovechamiento del tiempo libre por

medio de prácticas deportivas, actividades recreativas y eventos culturales en

espacios adecuados. Es importante la promoción, elaboración y ejecución de

programas orientados a conservar los valores de la cultura local, así como la

formación y el apoyo integral a los deportistas

- Secretaría de Gestión Ambiental y Minería

Gestiona las políticas para la conservación del medio ambiente y la protección

de los recursos naturales. Ejerce control y vigilancia sobre el cumplimiento de las

normas. Acompaña y asesora a la pequeña y mediana minería, en los procesos de

tecnificación. Expide permisos de movilización forestal.

- Oficina de Control Interno

Vela por el control de la calidad, propende por determinar estrategias y

realizar procedimientos para la verificación y evaluación. Genera informes que

permiten identificar y controlar las debilidades, vulnerabilidades, riesgos, amenazas

y fallas en los procesos misionales

 Alcance del Plan de Gestión de Riesgos

Como parte del proceso para mejorar la infraestructura tecnológica en la alcaldía de San

Antonio del SENA, se hace necesario realizar un Plan de Gestión de Riesgos (PGR). Es

clave identificar los posibles riesgos a los que están expuestos los niveles de servicio que se

definieron sobre las bases de datos de la alcaldía y establecer un plan de acción a seguir en

caso que se presenten, adicionalmente es importante socializar dichos riesgos y planes de

acción con los directivos del proyecto en este caso con la alcaldía de San Antonio del SENA

en cabeza del señor alcalde Juan Pedro.

Elementos a tener en cuenta

Se realiza una identificación de todos los elementos de riesgos a los cuales está

expuesta la infraestructura tecnológica y la información guardada:

 Personal

 Hardware

 Software

 Datos e información

 Documentación

 Suministro de energía

 Suministro de telecomunicaciones

 Red

Plan de recuperación ante desastres (DRP) alcaldía de San Antonio del SENA
Es un proceso de recuperación que cubre los datos, el hardware y el software crítico, para que
un negocio pueda comenzar de nuevo sus operaciones en caso de un desastre natural o
causado por humanos. Esto también debería incluir proyectos para enfrentarse a la pérdida
inesperada o repentina de personal clave, aunque esto no sea cubierto en este artículo, el
propósito es la protección de datos.

Razones para recurrir a un plan de recuperación de desastres (DRP)

Existen diferentes riesgos que pueden impactar negativamente las operaciones normales de
una organización. Una evaluación de riesgo debería ser realizada para ver que constituye el
desastre y a que riesgos es susceptible una empresa específica, incluyendo:
 Sistema y/o fallos del equipo.
 Virus, amenazas y ataques informáticos.
 Catástrofes.
 Fuego.
 Fallos en el suministro eléctrico.
 Conmoción social o disturbios.
 Ataques terroristas.
 Interrupciones organizadas o deliberadas.
 Error humano.
 Cuestiones legales.
 Huelgas de empleados.

Plan de protección

Se realizan las siguientes acciones como plan de protección:

 Se hace copias de los archivos que son vitales para la alcaldía.

 Al robo común se cierran las puertas de entrada y ventanas.

 Al vandalismo, se cierra la puerta de entrada.

 A la falla de los equipos, se realiza el mantenimiento de forma regular.

 Al daño por virus, todo el software que llega se analiza en un sistema utilizando

software
 Se cuenta con muy buenos antivirus actualizados en todo momento

 A las equivocaciones, los empleados tienen buena formación. Cuando se

requiere personal temporal se intenta conseguir a empleados debidamente

preparados. Se realizan jornadas de capacitación al personal.

 Al acceso no autorizado, se cierra la puerta de entrada. Se cuenta con seguridad

perimetral y con un sistema de cerrado de televisión para revisar los ingresos y

salidas

 Se aseguran los equipos en caso de algún desastre natural como incendio,

inundación, etc.

 Los servidores que guardan la información están en la nube de tal forma que se

garantiza contar con la información en todo momento y el proveedor se encarga

de los backups de la información (OpenShift de RedHat)

 Hay Cortafuegos muy bien configurados para el tráfico de red

 Hay redundancia de componentes como routers, entre otros, por si falla algún

componente entra a funcionar el componente de respaldo y de esa forma se

garantiza la continuidad de los servicios en la alcaldía

 Se cuentan con ups por si se presentan fallas en el suministro del fluido eléctrico

 Se cuenta con software de monitoreo a varios niveles que permite medir el

desempeño de la infraestructura tecnológica

 Capacitaciones periódicas (bimensual) en diversos temas tecnológicos

(seguridad información, sistemas de información que se usa, manejo de equipos,

etc.) y de procesos con el objetivo de mitigar el riesgo si una persona deja la

alcaldía.
 Estrategias de recuperación

Se dispone las alternativas más prácticas para proceder en caso de un desastre. Todos

los aspectos de la organización son analizados, incluyendo hardware, software,

comunicaciones, archivos, bases de datos, instalaciones, etc. Las alternativas a considerar

varían según la función del equipo y pueden incluir duplicación de centros de datos, alquiler

de equipos e instalaciones, contratos de almacenamiento y muchas más. Igualmente, se

analiza los costos asociados. Para el caso de la alcaldía la información va a estar guardada en

la nube, hay redundancia de componentes de hardware, hay personal capacitado

constantemente con jornadas de capacitación bimensual y simulacros de diversos temas.

 Se debe tener en cuenta un inventario de Hardware, impresoras, lectoras, scanner,

módems, fax y otros, detallando su ubicación (software que usa, ubicación y nivel de uso

institucional).

 Se debe emplear los siguientes criterios sobre identificación y protección de equipos:

Pólizas de seguros comerciales, como parte de la protección de los activos institucionales

y considerando una restitución por equipos de mayor potencia, teniendo en cuenta la

depreciación tecnológica. Señalización o etiquetamiento de las computadoras de acuerdo

a la importancia de su contenido y valor de sus componentes, para dar prioridad en caso

de evacuación. Por ejemplo, etiquetar de color rojo los servidores, color amarillo a los PC

con información importante o estratégica, y color verde a las demás estaciones (normales,

sin disco duro o sin uso). Mantenimiento actualizado del inventario de los equipos de

cómputo requerido como mínimo para el funcionamiento permanente de cada sistema en

cada secretaria.
  Obtención y almacenamiento de Copias de Seguridad (Backups)

Se debe contar con procedimientos para la obtención de las copias de seguridad de

todos los elementos de software necesarios para asegurar la correcta ejecución de los sistemas

en la alcaldía. Las copias de seguridad son las siguientes:

 Backup del Sistema Operativo: o de todas las versiones de sistema operativo

instalados en la Red.

 Backup de Software Base: (Lenguajes de Programación utilizados en el

desarrollo de los aplicativos institucionales).

 Backup del software aplicativo: backups de los programas fuente y los

programas ejecutables. Backups de los datos (Base de datos, passsword y todo

archivo necesario para la correcta ejecución del software aplicativos de la

institución).

Inventario de activos informáticos junto a las amenazas a las que son expuestos

Se han podido identificar para el caso de estudio 2 Alcaldía de San Antonio” el siguiente

inventariado de activos informáticos asociados a las amenazas a los que son expuestos

Activo informático Amenazas

Bases de datos internas
Son las bases de datos las cuales hacen parte de cada una
de las secretarias de la alcaldía de San Antonio
Las amenazas a las cuales se encuentran expuestos son:
 Ingreso y acceso de intrusos y usuarios no
autorizados por el sistema ni por la base de datos
 Inyección de código maliciosos SQL
 Software oculto para realizar labores de espionaje,
 sabotaje, robo cibernético y vandalismo
 Presencia de virus informático y gusanos

Página web interna (Intranet) Esta es la llamada herramienta intranet la cual facilita la
comunicación interna entre los funcionarios y empleados
de la alcaldía de San Antonio y facilita el proceso de
comunicación entre secretarias; se ve expuesta a las
siguientes amenazas:
 Acceso de personas no autorizas por el sistema, la
red LAN o externos a la alcaldía
 Virus informático
 Labores de espionaje
 Presencia y suplantación de usuarios
 Sabotaje, robo de información
Sitio web externo de la alcaldía A las amenazas a la cuales se ve enfrentado son:
de San Antonio  Virus informático
 Inyección de código SQL maliciosos para
modificar, eliminar y robar información de bases
de datos las cuales corran bajo el sitio web de la
alcaldía
 Suplantación de usuarios y secretarios así como
del alcalde mayor de la alcaldía de San Antonio
del SENA para el acceso a datos importantes y el
poder conseguir reportes, boletines,
certificaciones de pago de impuestos
correspondientes a la secretario de Hacienda
Chai interno Está expuesto a las siguientes amenazas:
 Virus informático
 Suplantación de la identidad, acceso de usuarios
internos de la alcaldía de San Antonio
 Robo de datos e información importante
 Modificación de datos y sabotaje
  Usuarios no autorizados por el sistema los cuales
puedan eliminar datos, registros y reportes en las
diferentes bases de datos de cada una de las
secretarias.
 Robo de datos e información importante
 Usuarios no autorizados por el sistema los cuales
puedan eliminar datos, registros y reportes en las
diferentes bases de datos de cada una de las
secretarias.
 Modificación de datos y sabotaje
Equipos de red cableados Estos hacen referencias a:
 ENRUTADORES
 ROUTERS
 TARJETAS DE RED
 CABLEADO
 SWITCHES
Están expuestos a amenazas como:
 Acceso de intrusos y usuarios no autorizados por
los sistemas ni por las bases de datos de las
secretarias de la alcaldía
 Virus informáticos potentes como son las bombas
lógicas y los troyanos que pueden inutilizar una
red LAN y una infraestructura tecnológica por
completo
 Robo de datos, información, reportes, boletines,
certificaciones electrónicas de pago de impuestos
así como el robo de bases de datos completas
 Hacking de correos electrónicos, cuentas de
usuarios, contraseñas, bases de datos y acceso a
los sistemas de información.
 Instalación de software espía por parte de usuarios
mal intencionados
Equipos de re inalámbricos Estos hacen referencias a:
 ENRUTADORES
 ROUTERS
 TARJETAS DE RED
 CABLEADO
 SWITCHES
Están expuestos a amenazas como:
 Acceso de intrusos y usuarios no autorizados por
los sistemas ni por las bases de datos de las
secretarias de la alcaldía
 Virus informáticos potentes como son las bombas
lógicas y los troyanos que pueden inutilizar una
red LAN y una infraestructura tecnológica por
completo
 Instalación de software espía por parte de usuarios
mal intencionados
 Hacking de correos electrónicos, cuentas de
usuarios, contraseñas, bases de datos y acceso a
los sistemas de información.
 Robo de datos, información, reportes, boletines,
certificaciones electrónicas de pago de impuestos
así como el robo de bases de datos completas
Cortafuegos Desactivación y desconfiguración intencional de esta
herramienta por parte de usuarios mal intencionados
Servidores Las amenazas a las que se pueden enfrentar son:
 Presencia de virus informáticos
 Acceso y manipulación de estos equipos bien sea
local, remotamente o físicamente por usuarios no
autorizados y mal intencionados quienes puedan
acceder a la red LAN
 Daños en hardware como en discos duros,
ventiladores
 Reinicios inesperados de los equipos servidores
  Interrupción del suministro de energía eléctrica

Computadores Están expuestos a amenazas tales como:

 Daños en hardware, software
 Presencia de virus informático
Impresoras  Daños con los cartuchos y malas calibraciones
para la impresión
 Descofiguraciones en el software y los
controladores que manejan la impresora y hacen el
puente de conexión con el hardware de estos
dispositivos
 Daños en hardware
Memorias portátiles y  Software maliciosos y espía
dispositivos de almacenamiento  Presencia de virus informático
externos
 Roles y responsabilidades

El momento de poner en marcha los procedimientos de recuperación, es importante tener

definido los roles y las responsabilidades que asume cada miembro del equipo:

 Estructura del equipo de recuperación (organigrama general) Las principales

funciones de este equipo serán restablecer los servicios de cómputo mediante la

restauración de la infraestructura, software operativo, los sistemas, las

telecomunicaciones y los datos. Proveerá un enlace entre los esfuerzos de

recuperación de la Dirección de Informática y Tecnología y las áreas de negocio. El

personal de la DIT también apoyará con el reporte de evaluación de daños en la

infraestructura de tecnología.

 Equipo de recuperación La conformación de equipo de recuperación de desastres

tiene como objetivo establecer las distintas responsabilidades para conseguir

recuperación exitosa ante una emergencia, teniendo en cuenta el DRP establecido.

 Roles El equipo de DRP tiene las siguientes responsabilidades:

 Definir controles preventivos necesarios y viables, con el fin de disminuir la

probabilidad de ocurrencia.

 Establecer, probar, ajustar y actualizar el DRP.

 Recuperar los servicios en el menor tiempo posible y dentro de los tiempos

establecidos.
 Realizar un informe acerca de las causas del desastre y en caso de ser necesario

modificar los controles y el DRP si así se requiere.

Teniendo en cuenta las responsabilidades, se conformaron los siguientes equipos de

trabajo y se establecieron sus funciones:

a. Dirección Estratégica y Coordinación(DEC): Coordinador General del Plan

 Dirigir y coordinar las actividades de los demás equipos que conforman la

brigada de DRP.

 Manifestar la situación de emergencia, contingencia y restablecimiento.

 Determinar el nivel de desastre producido por una contingencia: total o mayor,

parcial, menor.

 Realizar y probar los planes de recuperación.

 Controlar la ejecución del DRP y realizar los respectivos ajustes teniendo en

cuenta los problemas y errores detectados durante la ejecución del mismo

b. Recuperación de hardware (RH): Líder de infraestructura - Proveedores

Principales y alternos

 Identificar el hardware que ha sido afectado por el plan de contingencia.

 Coordinar con los proveedores de hardware el cumplimiento de los contratos de

mantenimiento, garantías y niveles de soporte.

  Participar en las instalaciones de sistemas operativos que realizan los

proveedores Comprobar el funcionamiento del hardware que han sido restaurados

o remplazados por proveedores.

 Identificar los elementos de comunicaciones y centros de cómputo que han sido

afectados por el plan de contingencia.

 Suministrar los backups necesarios para la restauración de la información.

 Suministrar el software necesario para la restauración

c. Recuperación de software (RS): Líder de aplicaciones y Base de datos

 Identificar servicios, procesos, bases de datos y aplicaciones que han sido

afectados por el plan de contingencia.

 Instalar, configurar y adecuar el software que ha sido afectado por la

contingencia.

d. Equipo de comunicación a usuarios (CU): Coordinador de operaciones

 Comunicar oficialmente a los usuarios, el plan de contingencia que será llevado

a cabo, el tiempo del restablecimiento de las condiciones normales.

 Realizar comunicados a los usuarios internos.

Fases de recuperación de desastres

Se recogen en este apartado las principales estrategias alternativas de recuperación y los

tiempos estimados de restauración de los servicios. La restauración de copias de seguridad de

datos conforme a la política y procedimientos aprobados por la Dirección, las alianzas y

acuerdos de colaboración Con proveedores alternativos para la sustitución urgente de

componentes o elementos de hardware fallidos, la utilización y mantenimiento de grupos

electrógenos y sistemas de alimentación ininterrumpidos (UPS) que cubran eventuales cortes

en el suministro de energía eléctrica y la flexibilidad para utilizar la sede alternativa de SIAP,

ubicada geográficamente con capacidad para la recuperación de procesos críticos

 El restablecimiento de los sistemas tanto físicos como lógicos incluyendo

instalaciones alternativas

o Sitio Alternativo con Infraestructura que pueda soportar temporalmente los

diferentes sistemas

o Equipos de Cómputo con Hardware con características similares

o Proveedor de Servicios de Hardware y Software

Prioridades de Recuperación

 La recuperación de los datos que contemple los procedimientos y planes de seguridad

o Recuperación de Máquinas Virtuales si las hay

o Recuperación de Copias de Seguridad

 Prioridad Alta

 Canales de comunicación - WAN

 Canal de Internet Local: Servidor de Internet

 Infraestructura de Red Local: Servidor de Dominio

 Herramientas de Gestión de Servicios y su infraestructura de apoyo: Servidores y

Bases de Datos: Servidor BD

 Infraestructura de apoyo (Telefonía/telecomunicaciones y aplicaciones) : Servidor

Mesa de Ayuda
  Prioridad Media

 Correo electrónico: Servidor de Correo

 Servidor PROXY

Plan de retorno a la normalidad: La meta de la recuperación y restauración es recobrar la

operatividad de la organización manteniendo la entrega de productos y servicios críticos. En

esta etapa se incluyen las siguientes actividades:

o Decidir donde reiniciar operaciones : Es necesario establecer si las facilidades

estropeadas se pueden reparar o si es necesario mantenerse en el sitio alterno

o Adquirir los recursos adicionales para restaurar por completo la operación

Es importante contar también con una estrategia de revisión y actualización del plan, ya que

con la evolución del negocio y sus necesidades, probablemente se deban replantear las

estrategias. Esto debido a la adquisición de nuevas aplicaciones o cambio en la definición de

procesos críticos.
 Inventario sobre los activos informáticos expuestos

Activo informático Controles para minimizar el riesgo Impacto del daño

Bases de datos Esto hace referencia a las diferentes bases de Bajo
internas datos que hacen parte de todas y de cada una de
las secretarias de la alcaldía del municipio de
San Antonio; dichas bases de datos son
relacionales y fueron desarrolladas por los
siguientes motor de base de datos como son:
MYSQL
SQL SERVER R2 2008
Planes para efectuar copias de seguridad:
 Políticas y sistemas para implementar
seguridad y protección de los datos, los
esquemas y estructuras de estas bases de
datos
 Documentar perfiles de usuarios,
contraseñas, accesos y privilegios en cada
una de las bases de datos
 Monitorear y hacer un seguimiento periódico
de los servicios, estado en tiempo real,
conexiones, concurrencia, tráfico de red,
consumo en espacio de disco entre otros
aspectos para verificar la operatividad y
continuidad en el funcionamiento de estas
bases de datos.
 Implementar encriptación y cifrado de datos
Bases de datos Políticas y sistemas para implementar seguridad Medio
externas y protección de los datos, los esquemas y
estructuras de estas bases de datos

Página web interna Este es un servicio de comunicación interna Medio

(Intranet) dentro de la alcaldía el cual es habilitado para
cada uno de los funcionarios y empleados de las
 diferentes secretarias que facilitaran el proceso
de trabajo interno y el intercambio de
información; es necesario implementar controles
para disminuir los daños o riesgos informáticos
como son:
 Instalación y puesta en marcha de
herramientas para la supervisión y
actividades realizadas dentro de la re LAN y
en la internar habilitada para esta alcaldía.
 Configuración de la red LAN y de todos sus
dispositivos dando protocolos de seguridad
los cuales impidan el ingreso de usuarios o
personas externas que no laboren dentro de la
alcaldía de San Antonio del SENA
Sitio web o página Esta es la página web o sitio el cual muestra al Bajo
externa mundo la imagen de la alcaldía de San Antonio;
dando a los
usuarios y comunidad en general servicios de
consultas, pagos de impuestos, comparendos,
eventos deportivos, descarga de certificaciones
de salud, dando a conocer noticias actualizadas y
poniendo a disposición foros, chats, debates
interactivos, encuestas de opinión entre otros
aspectos; para disminuir los riesgos informáticos
de daños y amenaza se deben implementar las
siguientes recomendaciones:
 Administrar, gestionar y supervisar el
funcionamiento y operatividad del sitio
web a través de herramientas
suministradas por el proveedor de
internet y el hosting contratado por la
alcaida como puede ser el C PANEL el
cual verifique criterios como:
  Actividad de las bases de datos
 Espacio en disco
 Trafico de red
 Usuarios, conectados
 Servicios centrados con el proveedor
 Concurrencia
 Bases de datos creadas
 Cuentas de correos electrónico
institucionales
 Creación de dominios
 Creación y disponibilidad de repositorios
digitales
 Disponibilidad de complementos.
 Complementos de seguridad
Chat interno Este es un medio de comunicación interna entre Medio
secretarias y funcionarios el cual deberá ser
usado con estándares de buena convivencia,
respeto por los demás así como principios de
confidencialidad en el intercambio de
información, bases de datos, documentos,
carpetas y sistemas informáticos internos de esta
alcaldía; para disminuir los riesgos y amenazas
informáticas de este tipo de activo se debe
implementar:
 Implementar políticas y sistemas de
seguridad en la protección de los datos,
usuarios quienes hacen uso de esta
herramienta.
 Labores periódicas de mantenimientos y
monitoreo al comportamiento de este
servicio por parte del departamento de
sistemas e ingenieros de esta alcaldía
 Documentar información de todos y cada
 uno de los usuarios, contraseñas y
actividades realizadas en este chat interno;
para así establecer los perfiles de usuarios.
Chat externo  Documentar información de todos y cada Alto
uno de los usuarios, contraseñas y
actividades realizadas en este chat interno;
para así establecer los perfiles de usuarios.
 Labores periódicas de mantenimientos y
monitoreo al comportamiento de este
servicio por parte del departamento de
sistemas de la alcaldía
Bases de datos de Estas bases de datos representan fuentes de Medio
contraseñas consultas, cruces de datos externos que se hacen
necesarios para cumplir los objetivos misionales
de la alcaldía de San Antonio del SENA; lo cual
representa riesgos informáticos los cuales se
pueden disminuir siguiendo o poniendo en
práctica recomendaciones tales como:
 Implementar políticas de seguridad, sistemas
de protección de los datos como encriptación
y cifrados
 Implementar políticas y planes para las
copias de respaldo de estas bases de datos y
bitácora de actividades de usuarios.
 Elaborar un log o bitácora de actividades
registradas por los usuarios quienes acceden
internamente en las diferentes secretarias de
esta alcaldía a las bases de datos; registrando
datos como:
o Fecha
o Hora
o Usuario
o Clave
 o Base de datos accedida
o Fecha y hora de cierre de sesión y
conexión con la base de datos.
o Actividades realizadas
Correo electrónico Este servicio será habilitado y se podrán Medio
crear cuentas de correo electrónico únicamente
usando herramientas de administración del sitio
web de la alcaldía de San Antonio
proporcionadas por la empresa HOSTING ; estos
correos electrónicos serán institucionales y no
personales en donde todos y cada uno de los
empleados y funcionarios que laboran dentro de
esta alcaldía tendrán habilitada una cuenta; para
disminuir los riesgos informáticos se deberá
implementar lo siguiente:
El administrador del sitio web deberá pedir
información del nuevo funcionario o persona
interna de la alcaldía que solicite una nueva
cuenta como es
Nombres completos
Apellidos
Secretaria donde labora
Justificación del por qué necesita una nueva
cuenta
Fecha de la solicitud
Es el administrador del sitio web el encargado de
analizar y validar esta información y crear la
respectiva cuenta
Se deberá documentar a todos los usuarios,
nombres de los correos electrónico y los usuarios
que les dan para así hacer un seguimiento y
monitoreo para garantizar la operatividad y
continuidad de este servicio.
 Inventario de Equipos expuestos
Activo informático Controles para minimizar el riesgo Impacto del daño
Equipos de red Es la infraestructura de la red LAN de la alcaldía Medio
cableada de San Antonio la cual pude ser:
 ENRUTADORES
 ROUTERS
 TARJETAS DE RED
 SWITCHES
Para minimizar los riesgos y amenazas
informáticas se deberá implementar lo siguiente:
Instalar y poner en marcha herramientas
tecnológicas para el monitoreo y seguimiento
periódico y en tiempo real del comportamiento
de la red LAN y de los servicios suministrados.
Documentación de análisis, diseño e
implementación de la red LAN de esta alcaldía
escribiendo aspectos de cableado, tecnología
usada, arquitectura, topología entre otros
aspectos
Realizar configuraciones a los dispositivos de
red lo cual permita adoptar protocoles de
conectividad y seguridad en la protección de los
datos y de la red LAN misma
Realizar labores de mantenimientos preventivos
y correctivos los cuales permitan garantizar la
operatividad de la red LAN
Equipos de red Es la infraestructura de la red LAN de la alcaldía Alto
inalámbrica de San Antonio la cual pude ser:
 ENRUTADORES
 ROUTERS
 TARJETAS DE RED
 SWITCHES
Para minimizar los riesgos y amenazas
 informáticas se deberá implementar lo siguiente:
Documentación de análisis, diseño e
implementación de la red LAN de esta alcaldía
escribiendo aspectos de cableado, tecnología
usada, arquitectura, topología entre otros
aspectos
Realizar configuraciones a los dispositivos de
red lo cual permita adoptar protocoles de
conectividad y seguridad en la protección de los
datos y de la red LAN misma
Realizar labores de mantenimientos preventivos
y correctivos los cuales permitan garantizar la
operatividad de la red LAN
Instalar y poner en marcha herramientas
tecnológicas para el monitoreo y seguimiento
periódico y en tiempo real del comportamiento
de la red LAN y de los servicios suministrados.
Cortafuegos Se deberán habilitar en todas y cada una de las Bajo
estaciones de trabajo, nodos de la red LAN así
como en los equipos servidores los cuales harán
parte de la infraestructura tecnológica d la
alcaldía de San Antonio
Servidores Estos son equipos de cómputo de gran potencia, Medio
importancia y sensibilidad para el
funcionamiento del negocio ya que cumplen
labores de respaldo de datos, alojamiento de
bases de datos, procesos de replicación, gestión y
manejo del tráfico de red LAN, alojamiento de la
bodega de datos de la alcaldía de San Antonio
así como el poder atender solicitudes de
consultas de múltiples usuarios de diferentes
localidades o secretarias. Para poder disminuir al
máximo riesgos, amenazas y
 vulnerabilidades informáticas se deberá
implantar lo siguiente:
Garantizar el suministro interrumpido 7X24 de
energía eléctrica a estos equipos de computo
Implementar planes de mantenimientos
preventivos y correctivos a estos equipos por
parte de personal técnico del departamento de
sistemas de la alcaldía de San Antonio
documentado el paso a paso y los resultados
obtenidos en este proceso.
Instalar y poner en marcha herramientas para el
monitoreo, supervisión y seguimiento periódico
del rendimiento y comportamiento real del
sistema operativo de estos equipos que para el
caso de la alcaldía de San Antonio será
WINDOWS SERVER 2012.
Implementar políticas y planes de contingencias
para respaldos y copia de datos importantes de
estos equipos en forma externa y remotamente
usando dispositivos de almacenamiento externos
y servicios de alojamiento en la nueve privada
Elaborar un inventariado completo de la
condiciones de funcionamiento en software y en
hardware de estos equipos de cómputo para
evaluar planes de escalonamiento y
mejoramiento en hardware y software adecuando
nuevos, mejores discos duros, mejores
herramientas de software así como la aplicación
e incremento de memoria RAM.
Computadores Se deberá tener en cuenta lo siguiente: Medio
Implementar labores de mantenimientos
periódicos preventivos y correctivos por parte el
personal de soporte técnico de la dependencia de
 sistemas de la alcaldía de San Antonio lo cual
genere una documentación la cual se tenga en
cuenta para el mejoramiento constante en
infraestructura y repotenciar los equipos de
cómputo existentes dentro de esta alcaldía.
Programar copias de seguridad y respaldo de
datos periódicos local o remotamente
Programas de En esta alcaldía se adquieren con regularidad Bajo
manejo de proyectos programas para el diseño, ejecución y
programación de tareas de diferentes proyectos
los cuales deberán ser ejecutados por todas y
cada una de las secretarias de este despacho
municipal para disminuir riesgos informáticos,
vulnerabilidades y sanciones se deberá
implementar lo siguiente:
Responsabilidades del proveedor del servicio o
programa informático.
Adquisición de contratos de licenciamiento para
el uso y explotación de este tipo de software si
son de uso comercial
Adquisición y contrato de licencia para el uso y
explotación de este tipo de programa
informáticos a si sea de uso libre o gratuito; este
tipo de contrato así como los de uso comercial
deberá tener asociados datos como.
Fecha
Nombre del producto o herramienta tecnológica
Condiciones de uso
Entidad, sitio web o empresa que facilita esta
herramienta
Responsabilidades del usuario final
Programas de Adquisición de contratos de licenciamiento para Bajo
producción de datos el uso y explotación de este tipo de software si
 son de uso comercial
Adquisición y contrato de licencia para el uso y
explotación de este tipo de programa
informáticos a si sea de uso libre o gratuito; este
tipo de contrato así como los de uso comercial
deberá tener asociados datos como.
Fecha
Nombre del producto o herramienta tecnológica
Condiciones de uso
Entidad, sitio web o empresa que facilita esta
herramienta
Responsabilidades del usuario final
Responsabilidades del proveedor del servicio o
programa informático.
Impresoras Se deberán realizar labores periódicas de Bajo
mantenimientos preventivos y correctivos a las
impresoras con las cuales cuenta la alcaldía de
San Antonio; generado documentación técnica la
cual será tenida en cuenta el momento de
adquirir nuevas y más modernas impresoras y
mejorar las ya existentes.

Memorias portátiles Se deberá realizar un análisis o escaneo en Bajo

detalle ejecutando programas de antivirus y de
seguridad informática con los que cuenta la
alcaldía de San Antonio para evitar:
Software espía
Presencia de virus
informático
Sabotaje
Software malicioso
Presencia de gusanos informáticos
 DIAGRAMA DE LA RED

 Sistema de detección de humo y alarma para incendios, con conexiones de agua para
bomberos

 Sistema Cerrado de Cámaras y alarma conectada a la policía del sector, servicios

públicos completos y rutas de fácil acceso
 Funciones del personal de la alcaldía
Responsable Funciones Cumplimiento
Alcalde mayor de San Es la máxima autoridad del municipio de San Si
Antonio Antonio y sus funciones son:
Dar a conocer al departamento de sistemas nuevas
necesidades, problemáticas y requerimientos a ser
solucionadas con la ayuda de nuevas tecnologías y
mejorar las que ya se tienen.
Implementar políticas para el mejoramiento de la
vida de todos y cada uno de los habientes del
municipio
Implementar, liderar y coordinar proyectos con la
secretaria de gobierno
Liderar proyectos y planes de mejoramiento en las
secretarios de hacienda, salud, medio ambiente,
deportes y reacción
Presentar al consejo municipal informes de gestión
de su gobierno
Hacer un buen uso de la infraestructura tecnológica
de la alcaldía de San Antonio y de los diferentes
equipos de computo
Secretario de Dar a conocer al departamento de sistemas nuevas Si
Hacienda necesidades, problemáticas y requerimientos a ser
solucionadas con la ayuda de nuevas tecnologías y
mejorar las que ya se tienen.
Hacer buen uso de la infraestructura tecnológica y
de los equipos de cómputo de la secretaria de
Hacienda
Liderar e implementar proyectos y planes de
mejoramiento en esta secretaria para el beneficio
del municipio
Secretario de Dar a conocer al departamento de sistemas nuevas Si
Deportes y necesidades, problemáticas y requerimientos a ser
Recreación solucionadas con la ayuda de nuevas tecnologías y
mejorar las que ya se tienen.
Hacer buen uso de la infraestructura tecnológica y
de los equipos de cómputo de la secretaria de
Recreación y Deportes
Liderar e implementar proyectos y planes de
mejoramiento en esta secretaria para el beneficio
del municipio
Jefe de Sistemas Es la persona encargada de: Si
Supervisar la implementación de planes para copias
de seguridad y respaldo de datos que realice el
administrador de base de datos
Liderar y gerencia proyectos informáticos
Definir políticas y sistemas de seguridad para la
protección de los datos, las bases de datos, los
sistemas informáticos y la red LAN
Supervisar la administración y mantenimiento de
las bases de datos de esta alcaldía lo cual garantice
su operatividad y continuidad
Coordinar el desarrollo de sistemas de información
y nievas herramientas tecnológicas a ser
implementadas por esta alcaldía.
Administrador de Administrar, mantener y garantizar la operatividad, Si
Base de Datos funcionabilidad y continuidad
de las bases de datos de esta alcaldía
Informática Soporte Efectuar planes de mantenimientos preventivos y Si
Técnico correctivos a los computadores, servidores e
infraestructura de la red LAN de la alcaldía del
municipio de San Antonio.
Secretario de Dar a conocer al departamento de sistemas nuevas Si
Gobierno necesidades, problemáticas y requerimientos a ser
solucionadas con la ayuda de nuevas tecnologías y
mejorar las que ya se tienen.
Hacer buen uso de la infraestructura tecnológica y
de los equipos de cómputo de la secretaria de
Gobierno
Liderar e implementar proyectos y planes de
mejoramiento en esta secretaria para el beneficio
del municipio
Secretario de Medio Dar a conocer al departamento de sistemas nuevas Si
Ambiente necesidades, problemáticas y requerimientos a ser
solucionadas con la ayuda de nuevas tecnologías y
mejorar las que ya se tienen.
Hacer buen uso de la infraestructura tecnológica y
de los equipos de cómputo de la secretaria de
Medio Ambiente
Liderar e implementar proyectos y planes de
mejoramiento en esta secretaria para el beneficio
del municipio
Secretario de Salud Dar a conocer al departamento de sistemas nuevas Si
necesidades, problemáticas y requerimientos a ser
solucionadas con la ayuda de nuevas tecnologías y
mejorar las que ya se tienen.
Hacer buen uso de la infraestructura tecnológica y
de los equipos de cómputo de la secretaria de Salud
Liderar e implementar proyectos y planes de
mejoramiento en esta secretaria para el beneficio
del municipio
 Recursos y presupuestos necesarios para la ejecución del plan

Un método sencillo para elaborar un plan de trabajo es organizar la información recopilada

sobre lo que se desea hacer en una secuencia jerarquizada: comience por el objetivo, después

pase a los resultados que contribuyen a la consecución de dicho objetivo y, por último, a las

tareas que permitirán lograr los resultados. A continuación se muestra un plan de trabajo

parcial correspondiente a uno de los diversos objetivos posibles:

Entre los recueros necesarios para ejecutar este plan de gestión de riesgos informáticos

tenemos los siguientes:

 Acceso a computadores y servidores de la alcaldía de San Antonio (Solo usuarios

autorizados y personal del departamento de sistemas)

 Adquisición de software especializado y herramientas tecnológicas para el monitoreo

constante de la elaboración y documentación de este tipo de planes; así como el poder

permitirle a personal del área de sistemas realizar auditorías internas para evaluar

cómo responde las diferentes secretarias a las amenazas y riesgos informáticos

detectados con anterioridad.

 Acceso a la red LAN (Departamento de sistemas y usuarios internos)

 Periodicidad de los eventos a ejecutar

Los eventos a ejecutar después de desarrollado, documentado e implementado en la

práctica y en las diferentes secretarias de la alcaldía de San Antonio; serán validado a través

de la realización de diferentes auditorias informáticas internas ejecutadas por personal interno

perteneciente al departamento de sistemas de esta alcaldía, con una frecuencia de ejecución

bimestral en todas y cada una de las secretarias evaluando el comportamiento y la respuesta a

las amenazas y/o riesgos informáticos detectados previamente pudiendo analizar su estas

vulnerabilidades se han podido disminuir a lo máximo o si se sigue presentado una

probabilidad de ocurrencia media o alta, esta labor será liderada por el jefe de sistemas de

esta dependencia junto a otros ingenieros de sistemas, el administrador de base de dato y el

responsable especializado en la administración de la red LAN

Herramientas software para realizar auditorías informáticas recomiendas

Cuan se piensa en hacer una auditoria para una empresa no se puede pasar por alto la

relacionada a los sistemas informáticos, la cual si no se cuenta con las herramientas

adecuadas puede llegar a ser bastante exhaustiva por toda la información que se debe

recopilar por cada uno de los equipos.

Normalmente cuando se hace auditoria a un equipo de cómputo es necesario conocer con el

mayor detalle posible cada una de las características del mismo, sus componentes y el

software que allí está instalado, sus respectivas licencias y cualquier otra información que

pueda ser clave para ser analizada por el auditor, algo que si se hace de forma manual puede

ser bastante complejo y demorado, por eso la importancia de recurrir a herramientas de

software que faciliten el trabajo.

 WinAudit es un software muy sencillo, liviano, gratuito y además portable, que de

manera rápida nos ofrece un completo análisis de cualquier computador que funcione bajo el

sistema Windows.

Al descargar WinAudit lo primero que se destaca es su pequeño tamaño de apenas 1,6 MB,

seguido de que no es necesario instalarlo para poderlo utilizar, facilitando así que podamos

llevarlo en cualquier USB y ejecutarlo sin necesidad de alterar el equipo que vayamos a

analizar. Como si fuera poco, esta herramienta es totalmente gratuita y de código abierto.

El uso de WinAudit es bastante simple, solo basta con ejecutarlo y de inmediato la

herramienta empieza a analizar todo el hardware y software de nuestra máquina, listando

cada uno de los componentes, sus características específicas, programas instalados con todos

los detalles posibles para cada uno de ellos, y una gran cantidad de información extra con la

que seguramente se puede disponer de un informe completo, que podremos guardar en

formato HTML, CSV o RTF.

 Actividades de protección sobre los datos

A veces es prácticamente imposible poder garantizar un sistema o una protección 100%

segura; estando latente la posibilidad de riesgos y vulnerabilidades por eso es importante

adoptar este tipo de políticas y medidas de seguridad informática y protección de la

información en este caso de la alcaldía de San Antonio para así disminuir al máximo estos

riesgos; pero en casos o escenarios posibles donde un intruso o usuario no autorizado por los

sistemas y bases de datos relacionales de la alcaldía de San Antonio tiene acceso a datos

importantes y a la red LAN se puede considera la opción de poner otra barrera más de

seguridad en mi opinión se puede implementar procesos de encriptación y cifrado de datos y

registros en el caso de las bases de datos de cada una de las secretarias de la alcaldía de San

Antonio, así a pesar de que un usuario no autorizado o intruso acceda a las bases de datos, a

la red LAN y tenga acceso a información sensible y delicada de muy poco le serviría ya que

esta información estaría encriptado o cifrada lo cual no le permitiría usarla para ningún fin,

uso u objetivo de sabotaje ya que para los seres humanos datos encriptados y cifrados son

prácticamente incomprensibles.

Encriptación es el proceso mediante el cual cierta información o texto sin formato es cifrado

de forma que el resultado sea ilegible a menos que se conozcan los datos necesarios para su

interpretación. Es una medida de seguridad utilizada para que al momento de almacenar o

transmitir información sensible ésta no pueda ser obtenida con facilidad por terceros.

Opcionalmente puede existir además un proceso de des encriptación a través del cual la

información puede ser interpretada de nuevo a su estado original, aunque existen métodos de

encriptación que no pueden ser revertidos. El término encriptación es traducción literal del
inglés y no existe en el idioma español. La forma más correcta de utilizar este término sería

cifrado.

En un Sistema de Comunicación de Datos, es de vital importancia asegurar que la

Información viaje segura, manteniendo su autenticidad, integridad, confidencialidad y el no

repudio de la misma entre otros aspectos

Estas características solo se pueden asegurar utilizando las Técnicas de Firma Digital

Encriptada y la Encriptación de Datos.

Otros métodos para la protección de los datos generados por las bases de datos de la alcaldía

de San Antonio serian:

 Almacenamiento en dispositivos externos

 Almacenamiento en la nube remotamente de datos e información sensible

 Discos duros espejo

 Fragmentación de bases de datos

 Implementar bases de datos distribuidas en todas y cada una de las secretarias.

 Conclusiones

Contar con un plan de gestión de riesgos (PGR) es esencial en la alcaldía para

garantizar la continuidad en la prestación de los servicios a los usuarios en lo referente a la
infraestructura tecnológica.

Es importante contar también con una estrategia de revisión y actualización del plan, ya que

con la evolución del negocio y sus necesidades, probablemente se deban replantear las

estrategias. Esto debido a la adquisición de nuevas aplicaciones o cambio en la definición de

procesos críticos.

Es clave la socialización con el alcalde de los riesgos que se pueden presentar y que
pueden afectar el core del negocio, en este caso los servicios que presta la alcaldía a la
comunidad, con el fin de estar preparados a todo nivel en caso que se presente y tener un plan
de acción que solucione la dificultad lo más rápido posible.
 Referencias

Material Especialización Gestión y Seguridad de Bases de Datos - SENA 2018