Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
SENA
GESTION Y SEGURIDAD DE BASES DE DATOS
2020
Introducción
identificación de las posibles acciones para contrarrestar los riesgos y su impacto sobre
los niveles de servicio que se definieron sobre las bases de datos de la alcaldía y
• Roles y responsabilidades
• Presupuesto
• Periodicidad
La alcaldía de San Antonio del SENA cuenta con las siguientes secretarias y
dependencias, las cuales apoyan la gestión del alcalde Juan Pedro. A nivel tecnológico
- Secretaría General
Apoya los procesos para asistir al alcalde de San Antonio del SENA en la
administración.
alcaldía
- Secretaría de Hacienda
- Secretaría de Salud
Como parte del proceso para mejorar la infraestructura tecnológica en la alcaldía de San
Antonio del SENA, se hace necesario realizar un Plan de Gestión de Riesgos (PGR).
Es clave identificar los posibles riesgos a los que están expuestos los niveles de
servicio que se definieron sobre las bases de datos de la alcaldía y establecer un plan de
dichos riesgos y planes de acción con los directivos del proyecto en este caso con la
alcaldía de San Antonio del SENA en cabeza del señor alcalde Juan Pedro.
Se realiza una identificación de todos los elementos de riesgos a los cuales está
• Personal
• Hardware
• Software
• Datos e información
• Documentación
• Suministro de energía
• Suministro de telecomunicaciones
• Red
Plan de recuperación ante desastres (DRP) alcaldía de San Antonio del SENA
Es un proceso de recuperación que cubre los datos, el hardware y el software crítico,
para que un negocio pueda comenzar de nuevo sus operaciones en caso de un desastre
natural o
causado por humanos. Esto también debería incluir proyectos para enfrentarse a la
pérdida inesperada o repentina de personal clave, aunque esto no sea cubierto en este
artículo, el propósito es la protección de datos.
Plan de protección
utilizando software
• Se cuenta con muy buenos antivirus actualizados en todo momento
inundación, etc.
• Se cuentan con ups por si se presentan fallas en el suministro del fluido eléctrico
considerar varían según la función del equipo y pueden incluir duplicación de centros
módems, fax y otros, detallando su ubicación (software que usa, ubicación y nivel
de uso institucional).
color rojo los servidores, color amarillo a los PC con información importante o
estratégica, y color verde a las demás estaciones (normales, sin disco duro o sin
de la institución).
siguiente inventariado de activos informáticos asociados a las amenazas a los que son
expuestos
Página web interna (Intranet) Esta es la llamada herramienta intranet la cual facilita
la comunicación interna entre los funcionarios y
empleados de la alcaldía de San Antonio y facilita el
proceso de comunicación entre secretarias; se ve
expuesta a las siguientes amenazas:
• Acceso de personas no autorizas por el sistema,
la red LAN o externos a la alcaldía
• Virus informático
• Labores de espionaje
• Presencia y suplantación de usuarios
• Sabotaje, robo de información
Sitio web externo de la A las amenazas a la cuales se ve enfrentado son:
alcaldía de San Antonio • Virus informático
• Inyección de código SQL maliciosos para
modificar, eliminar y robar información de
bases de datos las cuales corran bajo el sitio
web de la alcaldía
• Suplantación de usuarios y secretarios así
como del alcalde mayor de la alcaldía de San
Antonio del SENA para el acceso a datos
importantes y el poder conseguir reportes,
boletines, certificaciones de pago de impuestos
correspondientes a la secretario de Hacienda
Chai interno Está expuesto a las siguientes amenazas:
• Virus informático
• Suplantación de la identidad, acceso de
usuarios internos de la alcaldía de San Antonio
• Robo de datos e información importante
• Modificación de datos y sabotaje
• Usuarios no autorizados por el sistema los
cuales puedan eliminar datos, registros y
reportes en las diferentes bases de datos de
cada una de las secretarias.
• Robo de datos e información importante
• Usuarios no autorizados por el sistema los
cuales puedan eliminar datos, registros y
reportes en las diferentes bases de datos de
cada una de las secretarias.
• Modificación de datos y sabotaje
Equipos de red cableados Estos hacen referencias a:
• ENRUTADORES
• ROUTERS
• TARJETAS DE RED
• CABLEADO
• SWITCHES
Están expuestos a amenazas como:
• Acceso de intrusos y usuarios no autorizados
por los sistemas ni por las bases de datos de las
secretarias de la alcaldía
• Virus informáticos potentes como son las
bombas lógicas y los troyanos que pueden
inutilizar una red LAN y una infraestructura
tecnológica por completo
• Robo de datos, información, reportes,
boletines, certificaciones electrónicas de pago
de impuestos así como el robo de bases de
datos completas
• Hacking de correos electrónicos, cuentas de
usuarios, contraseñas, bases de datos y acceso
a los sistemas de información.
• Instalación de software espía por parte de
usuarios mal intencionados
Equipos de re inalámbricos Estos hacen referencias a:
• ENRUTADORES
• ROUTERS
• TARJETAS DE RED
• CABLEADO
• SWITCHES
Están expuestos a amenazas como:
• Acceso de intrusos y usuarios no autorizados
por los sistemas ni por las bases de datos de las
secretarias de la alcaldía
• Virus informáticos potentes como son las
bombas lógicas y los troyanos que pueden
inutilizar una red LAN y una infraestructura
tecnológica por completo
• Instalación de software espía por parte de
usuarios mal intencionados
• Hacking de correos electrónicos, cuentas de
usuarios, contraseñas, bases de datos y acceso
a los sistemas de información.
• Robo de datos, información, reportes, boletines,
certificaciones electrónicas de pago de
impuestos así como el robo de bases de datos
completas
Cortafuegos Desactivación y desconfiguración intencional de esta
herramienta por parte de usuarios mal intencionados
Servidores Las amenazas a las que se pueden enfrentar son:
• Presencia de virus informáticos
• Acceso y manipulación de estos equipos bien
sea local, remotamente o físicamente por
usuarios no autorizados y mal intencionados
quienes puedan acceder a la red LAN
• Daños en hardware como en discos duros,
ventiladores
• Reinicios inesperados de los equipos servidores
• Interrupción del suministro de energía eléctrica
tener definido los roles y las responsabilidades que asume cada miembro del equipo:
DRP establecido.
tiempos establecidos.
• Realizar un informe acerca de las causas del desastre y en caso de ser
por la contingencia.
mantenimiento de grupos
electrógenos y sistemas de alimentación ininterrumpidos (UPS) que cubran eventuales
procesos críticos
Prioridades de Recuperación
✓ Prioridad Alta
• Servidor PROXY
en el sitio alterno
Es importante contar también con una estrategia de revisión y actualización del plan,
recopilada sobre lo que se desea hacer en una secuencia jerarquizada: comience por el
objetivo y, por último, a las tareas que permitirán lograr los resultados. A continuación
posibles:
Entre los recueros necesarios para ejecutar este plan de gestión de riesgos informáticos
así como el poder permitirle a personal del área de sistemas realizar auditorías
internas para evaluar cómo responde las diferentes secretarias a las amenazas y
labor será liderada por el jefe de sistemas de esta dependencia junto a otros
Cuan se piensa en hacer una auditoria para una empresa no se puede pasar por alto la
adecuadas puede llegar a ser bastante exhaustiva por toda la información que se debe
con el mayor detalle posible cada una de las características del mismo, sus componentes
y el software que allí está instalado, sus respectivas licencias y cualquier otra
información que pueda ser clave para ser analizada por el auditor, algo que si se hace
de forma manual puede ser bastante complejo y demorado, por eso la importancia de
recurrir a herramientas de software que faciliten el trabajo.
WinAudit es un software muy sencillo, liviano, gratuito y además portable, que
MB, seguido de que no es necesario instalarlo para poderlo utilizar, facilitando así que
podamos llevarlo en cualquier USB y ejecutarlo sin necesidad de alterar el equipo que
código abierto.
instalados con todos los detalles posibles para cada uno de ellos, y una gran cantidad de
disminuir al máximo estos riesgos; pero en casos o escenarios posibles donde un intruso
San Antonio tiene acceso a datos importantes y a la red LAN se puede considera la
de cada una de las secretarias de la alcaldía de San Antonio, así a pesar de que un
usuario no autorizado o intruso acceda a las bases de datos, a la red LAN y tenga
información estaría encriptado o cifrada lo cual no le permitiría usarla para ningún fin,
uso u objetivo de sabotaje ya que para los seres humanos datos encriptados y cifrados
cifrado de forma que el resultado sea ilegible a menos que se conozcan los datos
momento de almacenar o transmitir información sensible ésta no pueda ser obtenida con
estado original, aunque existen métodos de encriptación que no pueden ser revertidos.
El término encriptación es traducción literal del inglés y no existe en el idioma español.
Estas características solo se pueden asegurar utilizando las Técnicas de Firma Digital
Otros métodos para la protección de los datos generados por las bases de datos de la
Es importante contar también con una estrategia de revisión y actualización del plan, ya
que con la evolución del negocio y sus necesidades, probablemente se deban replantear