SERVICIO NACIONAL DE APRENDIZAJE SENA

AA13-EV1-PLAN DE GESTIÓN DE RIESGOS (PGR)

TUTOR: ANDRES JULIAN VALENCIA OSORIO

ESTUDIANTE: JULIAN LEONARDO CAICEDO

FERNANDEZ

SENA
GESTION Y SEGURIDAD DE BASES DE DATOS
2020
 Introducción

El siguiente documento es mostrar el plan de gestión de riesgos el cual permite la

identificación de las posibles acciones para contrarrestar los riesgos y su impacto sobre

los niveles de servicio que se definieron sobre las bases de datos de la alcaldía y

procesos asociados a la administración de esta. El plan debe está basado en la

información de los casos de estudio de la Alcaldía de San Antonio del Sena y

contempla los siguientes puntos:

• Alcance del plan de gestión del riesgo

• Roles y responsabilidades

• Presupuesto

• Periodicidad

• Categorías del riesgo

• Inventario de activos expuestos

 Contexto de la Organización

La alcaldía de San Antonio del SENA cuenta con las siguientes secretarias y

dependencias, las cuales apoyan la gestión del alcalde Juan Pedro. A nivel tecnológico

cada secretaria y/o dependencia tiene unas características particulares y unas

limitaciones propias que a continuación se presentan de forma rápida, con el objetivo

de tener un contexto general de la alcaldía para realizar el Plan de Gestión de Riesgos.

- Secretaría General

Apoya los procesos para asistir al alcalde de San Antonio del SENA en la

planeación, organización, control ejecución de los programas de su

administración.

Vela por el cumplimiento de las normas legales que regulan el funcionamiento de la

alcaldía

- Secretaría de Hacienda

Recauda, registra y procesa la información económica de la administración

municipal. Fija las políticas para el cobro de aportes, participaciones y

servicios de la nación, departamento, instituciones oficiales y semioficiales.

Expide certificados de Paz y Salvo por pago de impuesto

- Secretaría de Gobierno

Evalúa los programas y campañas de la administración municipal para

garantizar los derechos y bienes de los habitantes del municipio, recibe y da

trámite a las querellas interpuestas por los ciudadanos.

- Secretaría de Planeación y Obras Públicas

Trabaja con proyectos para el desarrollo social, direcciona los proyectos en

materia de obras públicas, estratificación y actualización catastral. Trabaja en

planes de prevención y atención de desastres

- Secretaría de Educación

Representa y trabaja por la calidad y cobertura educativa. Orienta la

elaboración y ejecución de proyectos educativos

- Secretaría de Salud

Vigila la salud pública, gestiona la prestación de servicios de salud y

promoción de planes, programas, estrategias y proyectos en salud para el

desarrollo del sector y del sistema general de seguridad social

- Secretaría de Deportes Recreación y Cultura

Ejecuta programas destinados al aprovechamiento del tiempo libre por medio

de prácticas deportivas, actividades recreativas y eventos culturales en

espacios adecuados. Es importante la promoción, elaboración y ejecución de

programas orientados a conservar los valores de la cultura local, así como la

formación y el apoyo integral a los deportistas

- Secretaría de Gestión Ambiental y Minería

Gestiona las políticas para la conservación del medio ambiente y la protección

de los recursos naturales. Ejerce control y vigilancia sobre el cumplimiento de

las normas. Acompaña y asesora a la pequeña y mediana minería, en los

procesos de tecnificación. Expide permisos de movilización forestal.

- Oficina de Control Interno

Vela por el control de la calidad, propende por determinar estrategias y

realizar procedimientos para la verificación y evaluación. Genera informes que

permiten identificar y controlar las debilidades, vulnerabilidades, riesgos,

amenazas y fallas en los procesos misionales

 Alcance del Plan de Gestión de Riesgos

Como parte del proceso para mejorar la infraestructura tecnológica en la alcaldía de San

Antonio del SENA, se hace necesario realizar un Plan de Gestión de Riesgos (PGR).

Es clave identificar los posibles riesgos a los que están expuestos los niveles de

servicio que se definieron sobre las bases de datos de la alcaldía y establecer un plan de

acción a seguir en caso que se presenten, adicionalmente es importante socializar

dichos riesgos y planes de acción con los directivos del proyecto en este caso con la

alcaldía de San Antonio del SENA en cabeza del señor alcalde Juan Pedro.

Elementos a tener en cuenta

Se realiza una identificación de todos los elementos de riesgos a los cuales está

expuesta la infraestructura tecnológica y la información guardada:

• Personal

• Hardware

• Software

• Datos e información

• Documentación

• Suministro de energía

• Suministro de telecomunicaciones

• Red

Plan de recuperación ante desastres (DRP) alcaldía de San Antonio del SENA
Es un proceso de recuperación que cubre los datos, el hardware y el software crítico,
para que un negocio pueda comenzar de nuevo sus operaciones en caso de un desastre
natural o
causado por humanos. Esto también debería incluir proyectos para enfrentarse a la
pérdida inesperada o repentina de personal clave, aunque esto no sea cubierto en este
artículo, el propósito es la protección de datos.

Razones para recurrir a un plan de recuperación de desastres (DRP)

Existen diferentes riesgos que pueden impactar negativamente las operaciones
normales de una organización. Una evaluación de riesgo debería ser realizada para ver
que constituye el desastre y a que riesgos es susceptible una empresa específica,
incluyendo:
• Sistema y/o fallos del equipo.
• Virus, amenazas y ataques informáticos.
• Catástrofes.
• Fuego.
• Fallos en el suministro eléctrico.
• Conmoción social o disturbios.
• Ataques terroristas.
• Interrupciones organizadas o deliberadas.
• Error humano.
• Cuestiones legales.
• Huelgas de empleados.

Plan de protección

Se realizan las siguientes acciones como plan de protección:

• Se hace copias de los archivos que son vitales para la alcaldía.

• Al robo común se cierran las puertas de entrada y ventanas.

• Al vandalismo, se cierra la puerta de entrada.

• A la falla de los equipos, se realiza el mantenimiento de forma regular.

• Al daño por virus, todo el software que llega se analiza en un sistema

utilizando software
• Se cuenta con muy buenos antivirus actualizados en todo momento

• A las equivocaciones, los empleados tienen buena formación. Cuando se

requiere personal temporal se intenta conseguir a empleados debidamente

preparados. Se realizan jornadas de capacitación al personal.

• Al acceso no autorizado, se cierra la puerta de entrada. Se cuenta con

seguridad perimetral y con un sistema de cerrado de televisión para revisar

los ingresos y salidas

• Se aseguran los equipos en caso de algún desastre natural como incendio,

inundación, etc.

• Los servidores que guardan la información están en la nube de tal forma

que se garantiza contar con la información en todo momento y el proveedor

se encarga de los backups de la información (OpenShift de RedHat)

• Hay Cortafuegos muy bien configurados para el tráfico de red

• Hay redundancia de componentes como routers, entre otros, por si falla

algún componente entra a funcionar el componente de respaldo y de esa

forma se garantiza la continuidad de los servicios en la alcaldía

• Se cuentan con ups por si se presentan fallas en el suministro del fluido eléctrico

• Se cuenta con software de monitoreo a varios niveles que permite medir el

desempeño de la infraestructura tecnológica

• Capacitaciones periódicas (bimensual) en diversos temas tecnológicos

(seguridad información, sistemas de información que se usa, manejo de

equipos, etc.) y de procesos con el objetivo de mitigar el riesgo si una

persona deja la alcaldía.

 Estrategias de recuperación

Se dispone las alternativas más prácticas para proceder en caso de un desastre.

Todos los aspectos de la organización son analizados, incluyendo hardware, software,

comunicaciones, archivos, bases de datos, instalaciones, etc. Las alternativas a

considerar varían según la función del equipo y pueden incluir duplicación de centros

de datos, alquiler de equipos e instalaciones, contratos de almacenamiento y muchas

más. Igualmente, se analiza los costos asociados. Para el caso de la alcaldía la

información va a estar guardada en la nube, hay redundancia de componentes de

hardware, hay personal capacitado constantemente con jornadas de capacitación

bimensual y simulacros de diversos temas.

➢ Se debe tener en cuenta un inventario de Hardware, impresoras, lectoras, scanner,

módems, fax y otros, detallando su ubicación (software que usa, ubicación y nivel

de uso institucional).

➢ Se debe emplear los siguientes criterios sobre identificación y protección de

equipos: Pólizas de seguros comerciales, como parte de la protección de los activos

institucionales y considerando una restitución por equipos de mayor potencia,

teniendo en cuenta la depreciación tecnológica. Señalización o etiquetamiento de

las computadoras de acuerdo a la importancia de su contenido y valor de sus

componentes, para dar prioridad en caso de evacuación. Por ejemplo, etiquetar de

color rojo los servidores, color amarillo a los PC con información importante o

estratégica, y color verde a las demás estaciones (normales, sin disco duro o sin

uso). Mantenimiento actualizado del inventario de los equipos de cómputo requerido

como mínimo para el funcionamiento permanente de cada sistema en cada

secretaria.
 ➢ Obtención y almacenamiento de Copias de Seguridad (Backups)

Se debe contar con procedimientos para la obtención de las copias de seguridad

de todos los elementos de software necesarios para asegurar la correcta ejecución de

los sistemas en la alcaldía. Las copias de seguridad son las siguientes:

• Backup del Sistema Operativo: o de todas las versiones de sistema

operativo instalados en la Red.

• Backup de Software Base: (Lenguajes de Programación utilizados en el

desarrollo de los aplicativos institucionales).

• Backup del software aplicativo: backups de los programas fuente y los

programas ejecutables. Backups de los datos (Base de datos, passsword y

todo archivo necesario para la correcta ejecución del software aplicativos

de la institución).

Inventario de activos informáticos junto a las amenazas a las que son

expuestos

Se han podido identificar para el caso de estudio 2 Alcaldía de San Antonio” el

siguiente inventariado de activos informáticos asociados a las amenazas a los que son

expuestos

Activo informático Amenaza

s
Bases de datos internas Son las bases de datos las cuales hacen parte de cada
una de las secretarias de la alcaldía de San Antonio
Las amenazas a las cuales se encuentran expuestos son:
• Ingreso y acceso de intrusos y usuarios no
autorizados por el sistema ni por la base de
datos
• Inyección de código maliciosos SQL
• Software oculto para realizar labores de
espionaje,

Página web interna (Intranet)
Sitio web externo de la
alcaldía de San Antonio
Chai interno
sabotaje, robo cibernético y vandalismo
• Presencia de virus informático y gusanos
Esta es la llamada herramienta intranet la cual facilita
la comunicación interna entre los funcionarios y
empleados de la alcaldía de San Antonio y facilita el
proceso de comunicación entre secretarias; se ve
expuesta a las siguientes amenazas:
• Acceso de personas no autorizas por el sistema,
la red LAN o externos a la alcaldía
• Virus informático
• Labores de espionaje
• Presencia y suplantación de usuarios
• Sabotaje, robo de información
A las amenazas a la cuales se ve enfrentado son:
• Virus informático
• Inyección de código SQL maliciosos para
modificar, eliminar y robar información de
bases de datos las cuales corran bajo el sitio
web de la alcaldía
• Suplantación de usuarios y secretarios así
como del alcalde mayor de la alcaldía de San
Antonio del SENA para el acceso a datos
importantes y el poder conseguir reportes,
boletines, certificaciones de pago de impuestos
correspondientes a la secretario de Hacienda
Está expuesto a las siguientes amenazas:
• Virus informático
• Suplantación de la identidad, acceso de
usuarios internos de la alcaldía de San Antonio
• Robo de datos e información importante
• Modificación de datos y sabotaje
 • Usuarios no autorizados por el sistema los
cuales puedan eliminar datos, registros y
reportes en las diferentes bases de datos de
cada una de las secretarias.
• Robo de datos e información importante
• Usuarios no autorizados por el sistema los
cuales puedan eliminar datos, registros y
reportes en las diferentes bases de datos de
cada una de las secretarias.
• Modificación de datos y sabotaje
Equipos de red cableados Estos hacen referencias a:
• ENRUTADORES
• ROUTERS
• TARJETAS DE RED
• CABLEADO
• SWITCHES
Están expuestos a amenazas como:
• Acceso de intrusos y usuarios no autorizados
por los sistemas ni por las bases de datos de las
secretarias de la alcaldía
• Virus informáticos potentes como son las
bombas lógicas y los troyanos que pueden
inutilizar una red LAN y una infraestructura
tecnológica por completo
• Robo de datos, información, reportes,
boletines, certificaciones electrónicas de pago
de impuestos así como el robo de bases de
datos completas
• Hacking de correos electrónicos, cuentas de
usuarios, contraseñas, bases de datos y acceso
a los sistemas de información.
• Instalación de software espía por parte de
usuarios mal intencionados
Equipos de re inalámbricos Estos hacen referencias a:
• ENRUTADORES
• ROUTERS
• TARJETAS DE RED
• CABLEADO
• SWITCHES
Están expuestos a amenazas como:
• Acceso de intrusos y usuarios no autorizados
por los sistemas ni por las bases de datos de las
secretarias de la alcaldía
• Virus informáticos potentes como son las
bombas lógicas y los troyanos que pueden
inutilizar una red LAN y una infraestructura
tecnológica por completo
• Instalación de software espía por parte de
usuarios mal intencionados
• Hacking de correos electrónicos, cuentas de
usuarios, contraseñas, bases de datos y acceso
a los sistemas de información.
• Robo de datos, información, reportes, boletines,
certificaciones electrónicas de pago de
impuestos así como el robo de bases de datos
completas
Cortafuegos Desactivación y desconfiguración intencional de esta
herramienta por parte de usuarios mal intencionados
Servidores Las amenazas a las que se pueden enfrentar son:
• Presencia de virus informáticos
• Acceso y manipulación de estos equipos bien
sea local, remotamente o físicamente por
usuarios no autorizados y mal intencionados
quienes puedan acceder a la red LAN
• Daños en hardware como en discos duros,
ventiladores
• Reinicios inesperados de los equipos servidores
 • Interrupción del suministro de energía eléctrica

Computadores Están expuestos a amenazas tales como:

• Daños en hardware, software
• Presencia de virus informático
Impresoras • Daños con los cartuchos y malas calibraciones
para la impresión
• Descofiguraciones en el software y los
controladores que manejan la impresora y
hacen el puente de conexión con el hardware
de estos dispositivos
• Daños en hardware
Memorias portátiles y • Software maliciosos y espía
dispositivos de almacenamiento • Presencia de virus informático
externos
 Roles y responsabilidades

El momento de poner en marcha los procedimientos de recuperación, es importante

tener definido los roles y las responsabilidades que asume cada miembro del equipo:

✓ Estructura del equipo de recuperación (organigrama general) Las principales

funciones de este equipo serán restablecer los servicios de cómputo mediante la

restauración de la infraestructura, software operativo, los sistemas, las

telecomunicaciones y los datos. Proveerá un enlace entre los esfuerzos de

recuperación de la Dirección de Informática y Tecnología y las áreas de

negocio. El personal de la DIT también apoyará con el reporte de evaluación de

daños en la infraestructura de tecnología.

✓ Equipo de recuperación La conformación de equipo de recuperación de

desastres tiene como objetivo establecer las distintas responsabilidades para

conseguir recuperación exitosa ante una emergencia, teniendo en cuenta el

DRP establecido.

✓ Roles El equipo de DRP tiene las siguientes responsabilidades:

• Definir controles preventivos necesarios y viables, con el fin de

disminuir la probabilidad de ocurrencia.

• Establecer, probar, ajustar y actualizar el DRP.

• Recuperar los servicios en el menor tiempo posible y dentro de los

tiempos establecidos.
• Realizar un informe acerca de las causas del desastre y en caso de ser

necesario modificar los controles y el DRP si así se requiere.

Teniendo en cuenta las responsabilidades, se conformaron los siguientes

equipos de trabajo y se establecieron sus funciones:

a. Dirección Estratégica y Coordinación(DEC): Coordinador General del Plan

• Dirigir y coordinar las actividades de los demás equipos que

conforman la brigada de DRP.

• Manifestar la situación de emergencia, contingencia y restablecimiento.

• Determinar el nivel de desastre producido por una contingencia: total o

mayor, parcial, menor.

• Realizar y probar los planes de recuperación.

• Controlar la ejecución del DRP y realizar los respectivos ajustes

teniendo en cuenta los problemas y errores detectados durante la

ejecución del mismo

b. Recuperación de hardware (RH): Líder de infraestructura -

Proveedores Principales y alternos

• Identificar el hardware que ha sido afectado por el plan de contingencia.

• Coordinar con los proveedores de hardware el cumplimiento de los

contratos de mantenimiento, garantías y niveles de soporte.
 • Participar en las instalaciones de sistemas operativos que realizan los

proveedores Comprobar el funcionamiento del hardware que han sido

restaurados o remplazados por proveedores.

• Identificar los elementos de comunicaciones y centros de cómputo que

han sido afectados por el plan de contingencia.

• Suministrar los backups necesarios para la restauración de la información.

• Suministrar el software necesario para la restauración

c. Recuperación de software (RS): Líder de aplicaciones y Base de datos

• Identificar servicios, procesos, bases de datos y aplicaciones que han

sido afectados por el plan de contingencia.

• Instalar, configurar y adecuar el software que ha sido afectado

por la contingencia.

d. Equipo de comunicación a usuarios (CU): Coordinador de operaciones

• Comunicar oficialmente a los usuarios, el plan de contingencia que será

llevado a cabo, el tiempo del restablecimiento de las condiciones normales.

• Realizar comunicados a los usuarios internos.

Fases de recuperación de desastres

Se recogen en este apartado las principales estrategias alternativas de recuperación y los

tiempos estimados de restauración de los servicios. La restauración de copias de

seguridad de datos conforme a la política y procedimientos aprobados por la Dirección,

las alianzas y acuerdos de colaboración Con proveedores alternativos para la sustitución

urgente de componentes o elementos de hardware fallidos, la utilización y

mantenimiento de grupos
electrógenos y sistemas de alimentación ininterrumpidos (UPS) que cubran eventuales

cortes en el suministro de energía eléctrica y la flexibilidad para utilizar la sede

alternativa de SIAP, ubicada geográficamente con capacidad para la recuperación de

procesos críticos

✓ El restablecimiento de los sistemas tanto físicos como lógicos

incluyendo instalaciones alternativas

o Sitio Alternativo con Infraestructura que pueda soportar temporalmente

los diferentes sistemas

o Equipos de Cómputo con Hardware con características similares

o Proveedor de Servicios de Hardware y Software

Prioridades de Recuperación

✓ La recuperación de los datos que contemple los procedimientos y planes de seguridad

o Recuperación de Máquinas Virtuales si las hay

o Recuperación de Copias de Seguridad

✓ Prioridad Alta

• Canales de comunicación - WAN

• Canal de Internet Local: Servidor de Internet

• Infraestructura de Red Local: Servidor de Dominio

• Herramientas de Gestión de Servicios y su infraestructura de apoyo:

Servidores y Bases de Datos: Servidor BD

• Infraestructura de apoyo (Telefonía/telecomunicaciones y aplicaciones) :

Servidor Mesa de Ayuda

 ✓ Prioridad Media

• Correo electrónico: Servidor de Correo

• Servidor PROXY

Plan de retorno a la normalidad: La meta de la recuperación y restauración es

recobrar la operatividad de la organización manteniendo la entrega de productos y

servicios críticos. En esta etapa se incluyen las siguientes actividades:

o Decidir donde reiniciar operaciones : Es necesario establecer si las

facilidades estropeadas se pueden reparar o si es necesario mantenerse

en el sitio alterno

o Adquirir los recursos adicionales para restaurar por completo la operación

Es importante contar también con una estrategia de revisión y actualización del plan,

ya que con la evolución del negocio y sus necesidades, probablemente se deban

replantear las estrategias. Esto debido a la adquisición de nuevas aplicaciones o

cambio en la definición de procesos críticos.

 Inventario sobre los activos informáticos expuestos

Activo informático Controles para minimizar el riesgo Impacto del daño

Bases de datos Esto hace referencia a las diferentes bases de Bajo
internas datos que hacen parte de todas y de cada una
de las secretarias de la alcaldía del municipio
de San Antonio; dichas
bases de datos son
relacionales y fueron desarrolladas por los
siguientes motor de base de datos como son:
MYSQL
SQL SERVER R2 2008
Planes para efectuar copias de seguridad:
• Políticas y sistemas para implementar
seguridad y protección de los datos, los
esquemas y estructuras de estas bases de
datos
• Documentar perfiles de usuarios,
contraseñas, accesos y privilegios en cada
una de las bases de datos
• Monitorear y hacer un seguimiento
periódico de los servicios, estado en
tiempo real, conexiones, concurrencia,
tráfico de red, consumo en espacio de
disco entre otros aspectos para verificar la
operatividad y continuidad en el
funcionamiento de estas bases de datos.
• Implementar encriptación y cifrado de
datos
Bases de datos Políticas y sistemas para implementar Medio
externas seguridad y protección de los datos, los
esquemas y estructuras de estas bases de
datos
Página web interna Este es un servicio de comunicación Medio
interna
(Intranet)
dentro de la alcaldía el cual es habilitado para
cada uno de los funcionarios y empleados
de las
 diferentes secretarias que facilitaran el
proceso de trabajo interno y el intercambio de
información; es necesario implementar
controles para disminuir los daños o riesgos
informáticos como son:
• Instalación y puesta en marcha de
herramientas para la supervisión y
actividades realizadas dentro de la re LAN
y en la internar habilitada para esta
alcaldía.
• Configuración de la red LAN y de todos
sus dispositivos dando protocolos de
seguridad los cuales impidan el ingreso de
usuarios o personas externas que no
laboren dentro de la
alcaldía de San Antonio del SENA
Sitio web o página Esta es la página web o sitio el cual muestra Bajo
externa al mundo la imagen de la alcaldía de San
Antonio; dando a los
usuarios y comunidad en general servicios de
consultas, pagos de impuestos, comparendos,
eventos deportivos, descarga de
certificaciones de salud, dando a conocer
noticias actualizadas y poniendo a disposición
foros, chats, debates interactivos, encuestas de
opinión entre otros aspectos; para disminuir
los riesgos informáticos de daños y amenaza
se deben implementar las siguientes
recomendaciones:
• Administrar, gestionar y supervisar el
funcionamiento y operatividad del sitio
web a través de herramientas
suministradas por el proveedor de
internet y el hosting contratado por la
alcaida como puede ser el C PANEL el
cual verifique criterios como:
 • Actividad de las bases de datos
• Espacio en disco
• Trafico de red
• Usuarios, conectados
• Servicios centrados con el proveedor
• Concurrencia
• Bases de datos creadas
• Cuentas de correos
electrónico institucionales
• Creación de dominios
• Creación y disponibilidad de
repositorios digitales
• Disponibilidad de complementos.
•
Complementos de seguridad
Chat interno Este es un medio de comunicación interna Medio
entre secretarias y funcionarios el cual deberá
ser usado con estándares de buena
convivencia, respeto por los demás así como
principios de confidencialidad en el
intercambio de información, bases de datos,
documentos, carpetas y sistemas informáticos
internos de esta alcaldía; para disminuir los
riesgos y amenazas informáticas de este tipo
de activo se debe implementar:
• Implementar políticas y sistemas de
seguridad en la protección de los datos,
usuarios quienes hacen uso de esta
herramienta.
• Labores periódicas de mantenimientos y
monitoreo al comportamiento de este
servicio por parte del departamento de
sistemas e ingenieros de esta alcaldía
• Documentar información de todos y cada
 uno de los usuarios, contraseñas y
actividades realizadas en este chat interno;
para así establecer los perfiles de
usuarios.
Chat externo • Documentar información de todos y cada Alto
uno de los usuarios, contraseñas y
actividades realizadas en este chat interno;
para así establecer los perfiles de
usuarios.
• Labores periódicas de mantenimientos y
monitoreo al comportamiento de este
servicio por parte del departamento de
sistemas de la alcaldía
Bases de datos de Estas bases de datos representan fuentes de Medio
contraseñas consultas, cruces de datos externos que se
hacen
necesarios para cumplir los objetivos
misionales
de la alcaldía de San Antonio del SENA; lo
cual representa riesgos informáticos los cuales
se pueden disminuir siguiendo o poniendo en
práctica recomendaciones tales como:
• Implementar políticas de seguridad,
sistemas
de protección de los datos como
encriptación
y cifrados
• Implementar políticas y planes para las
copias de respaldo de estas bases de datos
y bitácora de actividades de usuarios.
• Elaborar un log o bitácora de actividades
registradas por los usuarios quienes
acceden
internamente en las diferentes secretarias
de esta alcaldía a las bases de datos;
registrando
datos como:
o Fecha
o Hora
o Usuario
o Clave
 o Base de datos accedida
o Fecha y hora de cierre de sesión y
conexión con la base de datos.
o Actividades realizadas
Correo electrónico Este servicio será habilitado y se podrán Medio
crear cuentas de correo electrónico
únicamente usando herramientas de
administración del sitio web de la alcaldía de
San Antonio proporcionadas por la empresa
HOSTING ; estos correos electrónicos serán
institucionales y no personales en donde todos
y cada uno de los empleados y funcionarios
que laboran dentro de esta alcaldía tendrán
habilitada una cuenta; para disminuir los
riesgos informáticos se deberá implementar lo
siguiente:
El administrador del sitio web deberá pedir
información del nuevo funcionario o persona
interna de la alcaldía que solicite una nueva
cuenta como es
Nombres completos
Apellidos
Secretaria donde labora
Justificación del por qué necesita una nueva
cuenta
Fecha de la solicitud
Es el administrador del sitio web el encargado
de analizar y validar esta información y crear
la respectiva cuenta
Se deberá documentar a todos los usuarios,
nombres de los correos electrónico y los
usuarios que les dan para así hacer un
seguimiento y monitoreo para garantizar la
operatividad y
continuidad de este servicio.
 Inventario de Equipos expuestos

Activo informático Controles para minimizar el riesgo Impacto del daño

Equipos de red Es la infraestructura de la red LAN de la Medio
cableada alcaldía de San Antonio la cual pude ser:
• ENRUTADORES
• ROUTERS
• TARJETAS DE RED
• SWITCHES
Para minimizar los riesgos y
amenazas informáticas se deberá
implementar lo siguiente: Instalar y poner
en marcha
herramientas tecnológicas para el
monitoreo y seguimiento periódico y en
tiempo real del comportamiento de la red
LAN y de los servicios suministrados.
Documentación de análisis, diseño
e implementación de la red LAN de
esta alcaldía escribiendo aspectos de
cableado, tecnología usada,
arquitectura, topología entre
otros aspectos
Realizar configuraciones a los dispositivos de
red lo cual permita adoptar protocoles de
conectividad y seguridad en la protección de
los datos y de la red LAN misma
Realizar labores de mantenimientos
preventivos
y correctivos los cuales permitan garantizar la
operatividad de la red LAN
Equipos de red Es la infraestructura de la red LAN de la Alto
inalámbrica alcaldía de San Antonio la cual pude ser:
• ENRUTADORES
• ROUTERS
• TARJETAS DE RED
• SWITCHES
Para minimizar los riesgos y amenazas
 informáticas se deberá implementar lo
siguiente: Documentación de
análisis, diseño e
implementación de la red LAN de esta
alcaldía escribiendo aspectos de cableado,
tecnología usada, arquitectura, topología
entre otros aspectos
Realizar configuraciones a los dispositivos de
red lo cual permita adoptar protocoles de
conectividad y seguridad en la protección de
los datos y de la red LAN misma
Realizar labores de mantenimientos
preventivos y correctivos los cuales permitan
garantizar la operatividad de la red LAN
Instalar y poner en marcha herramientas
tecnológicas para el monitoreo y seguimiento
periódico y en tiempo real del
comportamiento
de la red LAN y de los servicios suministrados.
Cortafuegos Se deberán habilitar en todas y cada una de Bajo
las estaciones de trabajo, nodos de la red LAN
así como en los equipos servidores los cuales
harán parte de la infraestructura tecnológica d
la
alcaldía de San Antonio
Servidores Estos son equipos de cómputo de gran Medio
potencia, importancia y sensibilidad para el
funcionamiento del negocio ya que cumplen
labores de respaldo de datos, alojamiento de
bases de datos, procesos de replicación,
gestión y manejo del tráfico de red LAN,
alojamiento de la bodega de datos de la
alcaldía de San Antonio así como el poder
atender solicitudes de consultas de múltiples
usuarios de diferentes localidades o
secretarias. Para poder disminuir al
máximo riesgos, amenazas y
vulnerabilidades informáticas se
deberá implantar lo
siguiente:
Garantizar el suministro interrumpido 7X24
de energía eléctrica a estos equipos de
computo Implementar planes de
mantenimientos preventivos y
correctivos a estos equipos por parte de
personal técnico del departamento de sistemas
de la alcaldía de San
Antonio documentado el paso a
paso y los resultados obtenidos en este
proceso.
Instalar y poner en marcha herramientas para
el monitoreo, supervisión y seguimiento
periódico del rendimiento y comportamiento
real del sistema operativo de estos equipos
que para el caso de la alcaldía de San Antonio
será WINDOWS SERVER 2012.
Implementar políticas y planes de
contingencias para respaldos y copia de datos
importantes de estos equipos en forma externa
y remotamente usando dispositivos de
almacenamiento externos y servicios de
alojamiento en la nueve privada Elaborar
un inventariado completo de la
condiciones de funcionamiento en software y
en hardware de estos equipos de cómputo
para evaluar planes de
escalonamiento ymejoramiento
en hardware y software adecuando nuevos,
mejores discos duros,
mejores herramientas de software
 así como la aplicación
e incremento de memoria RAM.

Computadores Se deberá tener en cuenta lo siguiente: Medio

Implementar labores de
mantenimientos periódicos
preventivos y correctivos por parte el
personal de soporte técnico de la dependencia
de
 sistemas de la alcaldía de San Antonio lo cual
genere una documentación la cual se tenga en
cuenta para el mejoramiento constante en
infraestructura y repotenciar los equipos de
cómputo existentes dentro de esta alcaldía.
Programar copias de seguridad y respaldo de
datos periódicos local o remotamente
Programas de En esta alcaldía se adquieren con Bajo
regularidad
manejo de proyectos
programas para el diseño, ejecución y
programación de tareas de diferentes
proyectos los cuales deberán ser ejecutados
por todas y cada una de las secretarias
de este despacho
municipal para disminuir riesgos
informáticos,
vulnerabilidades y sanciones se deberá
implementar lo siguiente:
Responsabilidades del proveedor del servicio
o programa informático.
Adquisición de contratos de licenciamiento
para el uso y explotación de este tipo de
software si son de uso comercial
Adquisición y contrato de licencia para el uso
y
explotación de este tipo de
programa informáticos a si sea
de uso libre o gratuito; este
tipo de contrato así como los de uso
comercial
deberá tener asociados datos como.
Fecha
Nombre del producto o herramienta
tecnológica Condiciones de uso
Entidad, sitio web o empresa que facilita esta
herramienta
Responsabilidades del usuario final
Programas de Adquisición de contratos de licenciamiento Bajo
para
producción de datos
el uso y explotación de este tipo de
software si
 son de uso comercial
Adquisición y contrato de licencia para el uso
y explotación de este tipo de programa
informáticos a si sea de uso libre o gratuito;
este tipo de contrato así como los de uso
comercial deberá tener asociados datos como.
Fecha
Nombre del producto o herramienta
tecnológica Condiciones de uso
Entidad, sitio web o empresa que facilita esta
herramienta
Responsabilidades del usuario final
Responsabilidades del proveedor del servicio o
programa informático.
Impresoras Se deberán realizar labores periódicas de Bajo
mantenimientos preventivos y correctivos a
las impresoras con las cuales cuenta la
alcaldía de San Antonio; generado
documentación técnica la cual será tenida en
cuenta el momento de adquirir nuevas y más
modernas impresoras y mejorar las ya
existentes.
Memorias portátiles Se deberá realizar un análisis o escaneo en Bajo
detalle ejecutando programas de antivirus y
de seguridad informática con los que cuenta la
alcaldía de San Antonio para evitar:
Software espía
Presencia de virus
informático
Sabotaje
Software malicioso
Presencia de gusanos informáticos
 DIAGRAMA DE LA RED

✓ Sistema de detección de humo y alarma para incendios, con conexiones de agua

para bomberos

✓ Sistema Cerrado de Cámaras y alarma conectada a la policía del sector, servicios

públicos completos y rutas de fácil acceso
 Funciones del personal de la alcaldía

Responsable Funcione Cumplimiento

s
Alcalde mayor de Es la máxima autoridad del municipio de San Si
San Antonio Antonio y sus funciones son:
Dar a conocer al departamento de sistemas
nuevas necesidades, problemáticas y
requerimientos a ser solucionadas con la ayuda
de nuevas tecnologías y mejorar las que ya se
tienen.
Implementar políticas para el mejoramiento de la
vida de todos y cada uno de los habientes del
municipio
Implementar, liderar y coordinar proyectos con
la secretaria de gobierno
Liderar proyectos y planes de mejoramiento en
las secretarios de hacienda, salud, medio
ambiente, deportes y reacción
Presentar al consejo municipal informes de
gestión de su gobierno
Hacer un buen uso de la infraestructura
tecnológica de la alcaldía de San Antonio y de
los diferentes
equipos de computo
Secretario de Dar a conocer al departamento de sistemas Si
Hacienda nuevas necesidades, problemáticas y
requerimientos a ser solucionadas con la ayuda
de nuevas tecnologías y mejorar las que ya se
tienen.
Hacer buen uso de la infraestructura tecnológica
y de los equipos de cómputo de la secretaria de
Hacienda
Liderar e implementar proyectos y planes de
mejoramiento en esta secretaria para el
beneficio del municipio
Secretario de Dar a conocer al departamento de sistemas Si
Deportes y nuevas necesidades, problemáticas y
Recreación requerimientos a ser solucionadas con la ayuda
de nuevas tecnologías y mejorar las que ya se
tienen.
Hacer buen uso de la infraestructura tecnológica
y de los equipos de cómputo de la secretaria de
Recreación y Deportes
Liderar e implementar proyectos y planes de
mejoramiento en esta secretaria para el beneficio
del municipio
Jefe de Sistemas Es la persona encargada de: Si
Supervisar la implementación de planes para
copias de seguridad y respaldo de datos que
realice el administrador de base de datos
Liderar y gerencia proyectos informáticos
Definir políticas y sistemas de seguridad para la
protección de los datos, las bases de datos, los
sistemas informáticos y la red LAN
Supervisar la administración y mantenimiento
de las bases de datos de esta alcaldía lo cual
garantice su operatividad y continuidad
Coordinar el desarrollo de sistemas de
información y nievas herramientas tecnológicas
a ser
implementadas por esta alcaldía.
Administrador de Administrar, mantener y garantizar la Si
Base de Datos operatividad, funcionabilidad y continuidad
de las bases de datos de esta alcaldía
Informática Soporte Efectuar planes de mantenimientos preventivos y Si
Técnico correctivos a los computadores, servidores e
infraestructura de la red LAN de la alcaldía del
municipio de San Antonio.
Secretario de Dar a conocer al departamento de sistemas Si
Gobierno nuevas necesidades, problemáticas y
requerimientos a ser solucionadas con la ayuda
de nuevas tecnologías y mejorar las que ya se
tienen.
Hacer buen uso de la infraestructura tecnológica
y de los equipos de cómputo de la secretaria de
Gobierno
Liderar e implementar proyectos y planes de
mejoramiento en esta secretaria para el beneficio
del municipio
Secretario de Medio Dar a conocer al departamento de sistemas Si
Ambiente nuevas necesidades, problemáticas y
requerimientos a ser solucionadas con la ayuda
de nuevas tecnologías y mejorar las que ya se
tienen.
Hacer buen uso de la infraestructura tecnológica
y de los equipos de cómputo de la secretaria de
Medio Ambiente
Liderar e implementar proyectos y planes de
mejoramiento en esta secretaria para el beneficio
del municipio
Secretario de Salud Dar a conocer al departamento de sistemas Si
nuevas necesidades, problemáticas y
requerimientos a ser solucionadas con la ayuda
de nuevas tecnologías y mejorar las que ya se
tienen.
Hacer buen uso de la infraestructura
tecnológica y de los equipos de cómputo de la
secretaria de Salud Liderar e implementar
proyectos y planes de mejoramiento en esta
secretaria para el beneficio del municipio
 Recursos y presupuestos necesarios para la ejecución del plan

Un método sencillo para elaborar un plan de trabajo es organizar la información

recopilada sobre lo que se desea hacer en una secuencia jerarquizada: comience por el

objetivo, después pase a los resultados que contribuyen a la consecución de dicho

objetivo y, por último, a las tareas que permitirán lograr los resultados. A continuación

se muestra un plan de trabajo parcial correspondiente a uno de los diversos objetivos

posibles:

Entre los recueros necesarios para ejecutar este plan de gestión de riesgos informáticos

tenemos los siguientes:

• Acceso a computadores y servidores de la alcaldía de San Antonio (Solo

usuarios autorizados y personal del departamento de sistemas)

• Adquisición de software especializado y herramientas tecnológicas para el

monitoreo constante de la elaboración y documentación de este tipo de planes;

así como el poder permitirle a personal del área de sistemas realizar auditorías

internas para evaluar cómo responde las diferentes secretarias a las amenazas y

riesgos informáticos detectados con anterioridad.

• Acceso a la red LAN (Departamento de sistemas y usuarios internos)

 Periodicidad de los eventos a ejecutar

Los eventos a ejecutar después de desarrollado, documentado e implementado en

la práctica y en las diferentes secretarias de la alcaldía de San Antonio; serán validado

a través de la realización de diferentes auditorias informáticas internas ejecutadas por

personal interno perteneciente al departamento de sistemas de esta alcaldía, con una

frecuencia de ejecución bimestral en todas y cada una de las secretarias evaluando el

comportamiento y la respuesta a las amenazas y/o riesgos informáticos detectados

previamente pudiendo analizar su estas vulnerabilidades se han podido disminuir a lo

máximo o si se sigue presentado una probabilidad de ocurrencia media o alta, esta

labor será liderada por el jefe de sistemas de esta dependencia junto a otros

ingenieros de sistemas, el administrador de base de dato y el responsable especializado

en la administración de la red LAN

Herramientas software para realizar auditorías informáticas recomiendas

Cuan se piensa en hacer una auditoria para una empresa no se puede pasar por alto la

relacionada a los sistemas informáticos, la cual si no se cuenta con las herramientas

adecuadas puede llegar a ser bastante exhaustiva por toda la información que se debe

recopilar por cada uno de los equipos.

Normalmente cuando se hace auditoria a un equipo de cómputo es necesario conocer

con el mayor detalle posible cada una de las características del mismo, sus componentes

y el software que allí está instalado, sus respectivas licencias y cualquier otra

información que pueda ser clave para ser analizada por el auditor, algo que si se hace

de forma manual puede ser bastante complejo y demorado, por eso la importancia de
recurrir a herramientas de software que faciliten el trabajo.
 WinAudit es un software muy sencillo, liviano, gratuito y además portable, que

de manera rápida nos ofrece un completo análisis de cualquier computador que

funcione bajo el sistema Windows.

Al descargar WinAudit lo primero que se destaca es su pequeño tamaño de apenas 1,6

MB, seguido de que no es necesario instalarlo para poderlo utilizar, facilitando así que

podamos llevarlo en cualquier USB y ejecutarlo sin necesidad de alterar el equipo que

vayamos a analizar. Como si fuera poco, esta herramienta es totalmente gratuita y de

código abierto.

El uso de WinAudit es bastante simple, solo basta con ejecutarlo y de inmediato

la herramienta empieza a analizar todo el hardware y software de nuestra máquina,

listando cada uno de los componentes, sus características específicas, programas

instalados con todos los detalles posibles para cada uno de ellos, y una gran cantidad de

información extra con la que seguramente se puede disponer de un informe completo,

que podremos guardar en formato HTML, CSV o RTF.

 Actividades de protección sobre los datos

A veces es prácticamente imposible poder garantizar un sistema o una protección 100%

segura; estando latente la posibilidad de riesgos y vulnerabilidades por eso es

importante adoptar este tipo de políticas y medidas de seguridad informática y

protección de la información en este caso de la alcaldía de San Antonio para así

disminuir al máximo estos riesgos; pero en casos o escenarios posibles donde un intruso

o usuario no autorizado por los sistemas y bases de datos relacionales de la alcaldía de

San Antonio tiene acceso a datos importantes y a la red LAN se puede considera la

opción de poner otra barrera más de seguridad en mi opinión se puede implementar

procesos de encriptación y cifrado de datos y registros en el caso de las bases de datos

de cada una de las secretarias de la alcaldía de San Antonio, así a pesar de que un

usuario no autorizado o intruso acceda a las bases de datos, a la red LAN y tenga

acceso a información sensible y delicada de muy poco le serviría ya que esta

información estaría encriptado o cifrada lo cual no le permitiría usarla para ningún fin,

uso u objetivo de sabotaje ya que para los seres humanos datos encriptados y cifrados

son prácticamente incomprensibles.

Encriptación es el proceso mediante el cual cierta información o texto sin formato es

cifrado de forma que el resultado sea ilegible a menos que se conozcan los datos

necesarios para su interpretación. Es una medida de seguridad utilizada para que al

momento de almacenar o transmitir información sensible ésta no pueda ser obtenida con

facilidad por terceros. Opcionalmente puede existir además un proceso de des

encriptación a través del cual la información puede ser interpretada de nuevo a su

estado original, aunque existen métodos de encriptación que no pueden ser revertidos.
El término encriptación es traducción literal del inglés y no existe en el idioma español.

La forma más correcta de utilizar este término sería cifrado.

En un Sistema de Comunicación de Datos, es de vital importancia asegurar que la

Información viaje segura, manteniendo su autenticidad, integridad, confidencialidad y

el no repudio de la misma entre otros aspectos

Estas características solo se pueden asegurar utilizando las Técnicas de Firma Digital

Encriptada y la Encriptación de Datos.

Otros métodos para la protección de los datos generados por las bases de datos de la

alcaldía de San Antonio serian:

• Almacenamiento en dispositivos externos

• Almacenamiento en la nube remotamente de datos e información sensible

• Discos duros espejo

• Fragmentación de bases de datos

• Implementar bases de datos distribuidas en todas y cada una de las secretarias.

 Conclusiones

Contar con un plan de gestión de riesgos (PGR) es esencial en la alcaldía para

garantizar la continuidad en la prestación de los servicios a los usuarios en lo referente a
la infraestructura tecnológica.

Es importante contar también con una estrategia de revisión y actualización del plan, ya

que con la evolución del negocio y sus necesidades, probablemente se deban replantear

las estrategias. Esto debido a la adquisición de nuevas aplicaciones o cambio en la

definición de procesos críticos.

Es clave la socialización con el alcalde de los riesgos que se pueden presentar y

que pueden afectar el core del negocio, en este caso los servicios que presta la alcaldía a
la comunidad, con el fin de estar preparados a todo nivel en caso que se presente y tener
un plan de acción que solucione la dificultad lo más rápido posible.
 Referencias

Material Especialización Gestión y Seguridad de Bases de Datos - SENA 2019