GESTIÓN Y SEGURIDAD DE BASES DE DATOS

AA13-EV1 Plan Gestión Del Riesgo

William Andrés Hurtado Torres

Ficha: 1881769

Servicio Nacional de Aprendizaje

SENA

Bogotá, octubre de 2019

Tabla de contenido
Introducción .................................................................................................................................................. 3
Alcance del Plan de Gestión de Riesgos........................................................................................................ 4
Propósito ................................................................................................................................................... 4
Identificación del Riesgo ........................................................................................................................... 4
Riesgo Estratégico: ................................................................................................................................ 4
Riesgos de Imagen ................................................................................................................................ 4
Riesgos Operativos ................................................................................................................................ 4
Riesgos Financieros ............................................................................................................................... 4
Riesgos de Cumplimiento...................................................................................................................... 5
Riesgos de Tecnología ........................................................................................................................... 5
Situación no Deseada................................................................................................................................ 5
Identificación del Riego............................................................................................................................. 5
Roles y responsabilidades ............................................................................................................................. 6
Análisis Cualitativo de Riesgos Identificados ................................................................................................ 6
Análisis De Vulnerabilidades ......................................................................................................................... 7
Periodicidad de los Eventos a Ejecutar ....................................................................................................... 12
Herramientas de Software para Auditorías Informáticas ........................................................................... 12
Conclusiones ............................................................................................................................................... 13
 Introducción

Uno de los elementos clave a la hora de asegurar el éxito en el proyecto, medido en términos
de cumplimiento de plazos, costes, alcance funcional y calidad final de los proyectos es la
Gestión de Riesgos.
Implantar una Gestión de Riesgos adecuada será un elemento decisivo a la hora de asegurar el
éxito del Proyecto, mediante la identificación y el análisis anticipado de los riesgos potenciales
que puedan afectar al Proyecto, y la elaboración de los planes de contingencia adecuados, con
el fin de evitarlos o minimizar el impacto en el Proyecto, en caso de que finalmente el riesgo sea
identificado y verificado.
Una perspectiva más amplia es la de explotar las oportunidades o posibilidades favorables para
el proyecto de tal forma que se convierte en una importante extensión del proceso de
planeación, especialmente en cuanto al diseño del proyecto y el plan base.
 Alcance del Plan de Gestión de Riesgos

El ámbito del análisis de riesgos cubre toda la extensión del proyecto, desde su fase inicial en el
diseño de la infraestructura necesaria para la Alcaldía de San Antonio del Sena hasta el cierre
del mismo con la finalización de las implementaciones de todos las actividades y entrega total
de las bases de datos funcionales; es necesario, durante el desarrollo del proyecto revisar y
actualizar los contenidos del análisis de riesgos en el eventual caso, de que se detecten nuevos
riegos que no fueron identificados en el plan inicial del proyecto, si no que fueron apareciendo
conforme el desarrollo del mismo. También es clave identificar los posibles riesgos a los que
están expuestos los niveles de servicio y establecer un plan de acción para superarlos.

Propósito
El riesgo es un evento incierto, que de ocurrir afectara positiva o negativamente al menos a uno
de los aspectos claves del proyecto (costos, tiempo, recursos, alcance y calidad).
La Planificación de la Gestión de Riesgos es el proceso de decidir cómo abordar y llevar a cabo
las actividades de gestión de riesgos identificados de un proyecto a través de la construcción de
la estructura de desglose del trabajo.

Identificación del Riesgo

Riesgo Estratégico:
Se asocia con la forma en que se administra la Entidad. El manejo del riesgo estratégico se
enfoca a asuntos globales relacionados con la misión y el cumplimiento de los objetivos
estratégicos, la clara definición de políticas, diseño y conceptualización de la entidad por parte
de la alta gerencia.
Riesgos de Imagen
Están relacionados con la percepción y la confianza por parte de la ciudadanía hacia la
institución.
Riesgos Operativos
Comprenden riesgos provenientes del funcionamiento y operatividad de los sistemas de
información institucional, de la definición de los procesos, de la estructura de la entidad y de la
articulación entre dependencias.
Riesgos Financieros
Se relacionan con el manejo de los recursos de la entidad que incluyen:
a. la ejecución presupuestal
b. la elaboración de los estados financieros
c. los pagos
d. manejos de excedentes de tesorería
 e. el manejo sobre los bienes.
Riesgos de Cumplimiento
Se asocian con la capacidad de la entidad para cumplir con los requisitos legales, contractuales,
de ética pública y en general con su compromiso ante la comunidad, de acuerdo con su misión.
Riesgos de Tecnología
Están relacionados con la capacidad tecnológica de la Entidad para satisfacer sus necesidades
actuales y futuras y el cumplimiento de la misión

Situación no Deseada
Escenarios probables y que tendrían un impacto considerable en la organización.
1. Hurto de información o de equipos informáticos.
2. Hurto de información durante el cumplimiento de las funciones laborales, por intromisión
3. Incendio en las instalaciones de la empresa por desastre natural o de manera intencional.
4. Alteración de claves y de información.
5. Pérdida de información.
6. Baja Cobertura de internet.
7. Daño de equipos y de información
8. Atrasos en la entrega de información
9. Atrasos en asistencia técnica
10. Fuga de información
11. Manipulación indebida de información
Identificación del Riego

Objetivo del Identificación de

Proceso
Proceso Activos

Causas
Descriptción del
(Amenazas y Riesgo
Riesgo
Vulnerabilidades)

Efectos de la
Materializacipón
del Riesgo
 Roles y responsabilidades

En el momento de poner en marcha los procedimientos de recuperación, es importante tener

definido los roles y las responsabilidades que asume cada miembro del equipo:

Roles para el Manejo de Riesgos Funciones

Líder de Gestión de Riesgos de la Alcaldía
Responsables de Riegos
Equipo de Trabajo
 Activar, actualizar y desactivar un riesgo
 Informar avances y medidas tomadas para
su mitigación
 Actualización del plan de gestión de
riesgos con los incidentes nuevos y/o no
tenidos en cuenta en el plan y sus posibles
mitigaciones
 Recibir todas las notificaciones de los
riegos
 Analizar cada riesgo ingresarlo al Registro
 Monitorear los riesgos ya ingresados
 Notificar de algún riesgo encontrado
 Realizar las acciones de mitigación de
algún Riesgo

Análisis Cualitativo de Riesgos Identificados

El análisis cualitativo es subjetivo y prioriza los riesgos para focalizar los esfuerzos, La Matriz
(probabilidad x impacto): se utiliza en este proceso, pero se define durante la planificación de
gestión de riesgos. La matriz especifica combinaciones de probabilidad e impacto que llevan a la
calificación de los riesgos como de prioridad muy probable, probable, posible, poco probable e
improbable y con un impacto leve, menor, grave, muy grave y catastrófico.
Es importante que la alcaldía ya tenga un sistema estándar de calificación de riesgos. Debido a
que el análisis cualitativo es subjetivo y depende de cada persona.

MATRIZ IMPACTO PROBABILIDAD

IMPACTO Leve Menor Grave Muy Grave Catastrófico
PROBABILIDAD 1 2 3 4 5
Improbable 1
Poco Probable 2
Posible 3
Probable 4
Muy Probable 5
Verde: Riesgos que necesitan MONITORIZACIÓN, planes de actuación detectivos
Amarillo: Riesgos que necesitan INVESTIGACIÓN, planes de actuación preventivos
Rojo: Riesgos que necesitan MITIGACIÓN, planes de actuación correctivos

Análisis De Vulnerabilidades

Aunque la protección de la información digital se ve amenazada frecuentemente por errores

cometidos por los usuarios, en la Alcaldía se encontraron otras amenazas e impactos como los
siguientes:
1. La red de internet implementada no es la más adecuada teniendo en cuenta que la
mayor parte de la alcaldía tiene conexión por cable y otras dependencias por WIFI; la
señal se torna débil o no llega a algunas oficinas, debido a que la infraestructura física es
amplia, compleja y la señal debe atravesar paredes. El internet lento y la perdida de
señal afecta de forma directa los tiempos de producción laboral y desempeño de las
funciones.
2. Los puntos de red ubicados en cada oficina no son suficientes y se han dispuesto nuevos
según se va presentando la necesidad. No existe una estructura o protocolo fijo y
establecido para la infraestructura física de la Alcaldía.
3. Algunos cables de energía están sueltos, no están cerca a los escritorios o no son
suficientes para la cantidad de equipos que tiene cada oficina, existe riesgo de pérdida
de información en el caso que sean desconectados por accidente y la información
procesada por el funcionario no alcanza a ser guardada.
4. Las políticas y normas de seguridad de la información existentes no han sido socializadas
con todo el personal, por eso es muy común identificar el incumplimiento a las reglas
básicas del cuidado tanto de los equipos informáticos y como de la información física y
digital, algunas son:
a. Bebidas y alimentos cerca a los equipos de cómputo, cualquier derrame de líquidos
afectan los activos de información y de informática.
b. En algunos papeles reutilizables se encontró información personal que debe ser
reservada, identificándose la falta de confidencialidad y privacidad.
c. En algunas secretarías de la alcaldía no existen los equipos de cómputo suficientes
para el uso de la totalidad de su personal.
d. Existe un riesgo de pérdida de información ya que deben compartir los recursos
informáticos.
5. El Datacenter de la entidad requiere de algunas características importantes para cumplir
con las normas de funcionamiento (alimentación eléctrica estabilizada e ininterrumpida,
sistemas contra incendios, control de acceso, extintores, sistemas de cámaras de
 vigilancia, alarmas contra incendios, control de temperatura y humedad, piso falso,
entre otros).
6. No existen cuentas de usuario y claves para el acceso de los recursos informáticos, en
equipos compartidos.
7. La información es llevada en memorias o discos duros portátiles personales, por ende, la
información sale de la entidad.
8. No hay control para el uso de memorias portátiles en los equipos de la Alcaldía,
exponiendo a perder la información por virus no detectados o daños irreparables del
hardware.
9. Se identificó un completo desconocimiento del tema de seguridad y privacidad de la
información en la alcaldía.
10. No existe un Firewall para la red de la alcaldía.
11. El sistema ofimático Microsoft Office que se utiliza en la alcaldía no se encuentra
actualizado y algunos equipos no tendrían licencia del mismo lo que estarían
incumpliendo la Ley 603 de 2000.
12. No existe un área de sistemas con personal encargado de revisar, documentar, diseñar y
controlar los procesos propios de un modelo de seguridad de la información para la
Alcaldía.
13. No existe un historial de reportes de los procesos de asistencias y/o mitigación de
vulnerabilidades realizados por el personal de sistemas en la entidad.
14. Los documentos físicos que se manejan en la entidad no se han digitalizado por lo tanto
están expuestos a perdidas y daños físicos debido a que los sitios de almacenamiento en
las oficinas no son los adecuados.
15. No existen procesos de copias de seguridad establecidos. Las copias de seguridad se
están realizando únicamente en las secretarías y/o equipos donde se manejan software
o sistemas de Información con un servidor dedicado a dicho propósito.
Esta solución no es óptima, ya que existe riesgo de pérdida total de información en caso
de ocurrir desastres naturales, incendios u otros que afecten las copias de respaldo
almacenadas en el Datacenter ubicado dentro de la misma entidad.
16. No existe un plan de continuidad de negocio que permita reanudar las operaciones
normales durante o después de interrupciones significativas a las operaciones de la
alcaldía. (en caso de incendio o desastre natural existen altas probabilidades de perder
la información de los servidores).
17. No se cuentan con los tipos de extintores adecuados para cada emergencia.
18. La alcaldía no cuenta con una planta de energía, se han presentado cortes de energía
suspendiendo los procesos laborales de todas las oficinas.
 Vulnerabilidad Descripción Causa Efecto Clasificación Calificación Evaluación Mitigación del Riesgo
Las conexiones no son suficientes,
no cumplen con las exigencias el Inadecuada
Riesgo tecnológico
tamaño de la red de equipos de conexión de Posible pérdida Plantear un nuevo diseño de
*Fallas Eléctricas Riesgo físico 20 Riesgo Alto
cómputo (cables sueltos, cableado de información la red eléctrica
Riesgo humano
inadecuada estructura y eléctrico
adecuación)
No
Acciones no
socialización
*Afectación de adecuadas en el Diseñar, socializar e
No Riesgo Tecnológico
activos de Desconocimiento de las políticas y tratamiento de implementar un Manual de
capacitación Riesgo en Servicio
información y normas de seguridad de la los 25 Riesgo Alto políticas y normas de
de las Riesgo de Información
activos información. activos de seguridad de la información
políticas y Riesgo en personal
informáticos información e en la alcaldía municipal
normas de
informáticos
seguridad.
Retraso en
*Perdida de La red implementada no es la más tiempos de
Riesgo Tecnológico Implementación del nuevo
Información adecuada y hacen falta equipos de Mal diseño de respuesta de
Riesgo en Servicio Riesgo plan de infraestructura
computo la datos y afectación 8
Riesgo de Información Moderado realizado en las fases
*Pérdida de Las fallas en el internet afectan toda infraestructura directa a las
iniciales
tiempo productivo la productividad labores de la
Alcaldía
Encargar a personal
El personal encargado de los capacitado para el
No existe
sistemas no es aseguramiento de la
personal Ausencia de
*Incumplimiento suficiente. información.
encargado del transferencia de Riesgo de información
de las actividades
proceso de conocimiento y Riesgo de Servicio 20 Riesgo Alto
de seguridad de la No se están siguiendo Capacitar al personal de la
aseguramiento falta de Riesgo Tecnológico
información. protocolos y normas para garantizar Alcaldía municipal para el
de la capacitación
la seguridad de la cumplimiento de procesos y
información
información en la entidad actividades de seguridad de
la información
 En la entidad se trabaja en la Socializar con los
Exposición de Incumplimiento
campaña cero papel, sin embargo funcionarios de la entidad
Confidencialidad e datos de
se han encontrado dentro del papel acerca de las políticas de
Integridad de la personales en Confidencialidad Riesgo de Información 16 Riesgo Alto
reutilizable información personal de seguridad y confidencialidad
Información papel e integridad de la
algunos pobladores del municipio, de la
reutilizable. información
beneficiarios de programas sociales. información.
No se cuentan Adquirir los extintores
con los tipos necesarios.
No se cuentan con los tipos de No hay extintores Riesgo de información
Pérdida total de de extintores
extintores adecuados para cada No hay planta de Riesgo de servicio 20 Riesgo Alto
Información adecuados Revisar el funcionamiento y
necesidad. energía Riesgo tecnológico
para cada puesta en marcha de la
necesidad. planta de energía

Crear un instructivo de
copias de seguridad accesible
al personal calificado

No hacen Capacitar al personal de la

Los funcionarios no realizan copias
copias de alcaldía municipal para el
de seguridad a la información
seguridad dominio de este tema.
producto de sus funciones. Posible pérdida
de información Riesgo de Información
Pérdida de No existen Riesgo Adquirir un servidor para
Equipos compartidos en algunas Riesgo en Servicio 16
Información cuentas de Importante almacenar las copias de
secretarías. Infección por Riesgo Tecnológico
usuario. seguridad.
Virus
Uso de memorias extraíbles y
No hay control Adquisición de una nube
unidades extraíbles
de uso para almacenamiento de
información.

Crear cuentas de usuario con

claves.
 Adecuación del Datacenter
de la alcaldía Municipal,
cumpliendo con las
Incendios, características exigidas por
El DataCenter no cuenta con todas
ingreso de normas y estándares en
las especificaciones exigidas para el Perdida de
Pérdida de personal no Riesgo en Servicio Riesgo Colombia.
correcto funcionamiento y información por 9
Información autorizado, Riesgo en información Moderado
adecuación de un área de tal catástrofe o
posible robo (Piso falso, Seguridad
importancia. riesgo en manos
de servidores biométrica de acceso,
cámara de
seguridad, extintores
adecuados, entre otros)
No se ha
Iniciar la ejecución de la
iniciado la Daño de
Pérdida de La documentación e información en digitalización y
ejecución de documentos y Riesgo
información y/o papel o física está siendo archivada Riesgo de Información 12 almacenamiento de la
digitalización deterioro del Importante
deterioro físico en sitios no adecuados para ello. información contenida en
de papel
papel.
información.
Crear procesos de copias de
seguridad.
No existe un proceso establecido de
No hay
copias de seguridad dentro y fuera
procesos de Invertir en un software o
de la entidad para la información
copias de sistema de información para
generada en los sistemas de
No hay respaldo seguridad el almacenamiento y
información existentes.
de información en establecidos. Perdida de Riesgo Tecnológico Riesgo consulta de la
15
sistemas de información Riesgo de información Importante documentación física
No Existe un sistema de información
información No hay existente en la alcaldía.
para la documentación sensible,
servidores de
como contratos y acuerdos
replicación o Habilitación de backup’s del
backup’s servidor de datos,
No existe un servidor de respaldo
aplicaciones y/o replicación
de los mismos.
 Periodicidad de los Eventos a Ejecutar

Los eventos a ejecutar después de desarrollado, documentado e implementado en la práctica y

en las diferentes secretarias de la alcaldía de San Antonio; serán validado a través de la
realización de diferentes auditorias informáticas internas ejecutadas por personal interno
perteneciente al departamento de sistemas de esta alcaldía, con una frecuencia de ejecución
bimestral en todas y cada una de las secretarias evaluando el comportamiento y la respuesta a
las amenazas y/o riesgos informáticos detectados previamente pudiendo analizar su estas
vulnerabilidades se han podido disminuir a lo máximo o si se sigue presentado una probabilidad
de ocurrencia media o alta, esta labor será liderada por el jefe de sistemas de esta dependencia
junto a otros ingenieros de sistemas, el administrador de base de dato y el responsable
especializado en la administración de la red LAN

Herramientas de Software para Auditorías Informáticas

1. NMAP: Ha llegado a ser una de las herramientas imprescindibles para todo

administrador de sistema, y es usado para pruebas de penetración y tareas de seguridad
informática en general.
2. NESSUS: Es un programa de escaneo de vulnerabilidades en diversos sistemas
operativos. Realiza el escaneo en el sistema objetivo, y el cliente (basado en consola o
gráfico) que muestra el avance e informa sobre el estado de los escaneos.
3. BAckTrack: Es una distribución GNU/Linux en formato LiveCD pensada y diseñada para la
auditoría de seguridad y relacionada con la seguridad informática en general.
4. ACL: Es la herramienta de software preferida por los profesionales de las finanzas y
auditoría para extraer y analizar datos, detectar fraudes y lograr un monitoreo continuo.
5. Meycor CobiT Suite: Es una completa herramienta integral e intuitiva para la
implementación del marco Cobit, para la Gobernanza, la Gestión de riesgos
tecnológicos, la Seguridad, el Control Interno, y el Aseguramiento de la TI.
6. Apex SQL Audit: Provee una herramienta de auditoría activa para empresas que
necesitan auditar bases de datos Microsoft SQL Server.
7. Apex SQL Audit: es la solución perfecta de auditoría activa para SQL Server.
8. Trillium Software: Combina el poder de tecnología de vanguardia con un proceso
probado de descubrimiento, reingeniería, identificación, estandarización y mejora de los
datos, así como la obtención y detección de relaciones entre los registros de la base de
datos.
 Conclusiones

Con los resultados obtenidos en el análisis de vulnerabilidades y el análisis de riesgos se

lograron identificar las fallas de seguridad que se tienen en la Alcaldía; ante las evidencias de las
vulnerabilidades que conllevan amenazas fue posible identificar los controles para implementar
y mitigar la situación de riesgo.
Con la implementación, el uso de la matriz de riesgos y el análisis que genera para el
tratamiento de los activos involucrados se determinó el riesgo total de cada uno de los ítems
que conforman los recursos de la Alcaldía de San Antonio del Sena.