ELABORACION DEL PLAN DE GESTION DE RIESGOS

INSTRUCTOR FREDY ANTONIO ALARCON FONSECA

LIZ VARGAS FONSECA

VICTOR RODRIGUEZ GUTIERREZ

SENA CENTRO INDUSTRIAL DE MANTENIMIENTO Y MANUFACTURA

SOGAMOSO – BOYACA
2019
El objetivo del presente documento es mostrar el plan de gestió n de riesgos el
cual permite la identificació n de las posibles acciones para contrarrestar los
riesgos y su impacto sobre los niveles de servicio que se definieron sobre las
bases de datos de la empresa y procesos asociados a la administració n de esta.
El plan está basado en la informació n de La empresa JCMP Software y
contempla los siguientes puntos:
• Alcance del plan de gestió n del riesgo
• Roles y responsabilidades
• Presupuesto
• Periodicidad
• Categorías del riesgo
• Inventario de activos expuestos

Alcance del Plan de Gestión de Riesgos

Como parte del proceso para mejorar la infraestructura tecnoló gica en JCMP
Software, se hace necesario realizar un Plan de Gestió n de Riesgos (PGR). Es
clave identificar los posibles riesgos a los que está n expuestos los niveles de
servicio que se definieron sobre las bases de datos de la empresa y establecer
un plan de acció n a seguir en caso que se presenten, adicionalmente es
importante socializar dichos riesgos y planes de acció n con cada uno de los
empleados de la empresa.

Elementos a tener en cuenta

Se realiza una identificació n de todos los elementos de riesgos a los cuales está
expuesta la infraestructura tecnoló gica y la informació n guardada:
 Personal
 Hardware
  Software
 Datos e informació n
 Documentació n
 Suministro de energía
 Suministro de telecomunicaciones
 Red

Plan de recuperación ante desastres (DRP)

Es un proceso de recuperació n que cubre los datos, el hardware y el software
crítico, para que un negocio pueda comenzar de nuevo sus operaciones en caso
de un desastre natural o causado por humanos. Esto también debería incluir
proyectos para enfrentarse a la pérdida inesperada o repentina de personal
clave, aunque esto no sea cubierto en este artículo, el propó sito es la protecció n
de datos.

Razones para recurrir a un plan de recuperación de desastres (DRP)

Existen diferentes riesgos que pueden impactar negativamente las operaciones
normales de una organizació n. Una evaluació n de riesgo debería ser realizada
para ver que constituye el desastre y a que riesgos es susceptible una empresa
específica, incluyendo:
 Sistema y/o fallos del equipo.
 Virus, amenazas y ataques informá ticos.
 Catá strofes.
 Fuego.
 Fallos en el suministro eléctrico.
 Conmoció n social o disturbios.
 Ataques terroristas.
 Interrupciones organizadas o deliberadas.
 Error humano.
 Cuestiones legales.
 Huelgas de empleados.
Plan de protección

Se realizan las siguientes acciones como plan de protecció n:

 Se hace copias de los archivos que son vitales para la empresa.
 Al robo comú n se cierran las puertas de entrada y ventanas.
 Al vandalismo, se cierra la puerta de entrada.
 A la falla de los equipos, se realiza el mantenimiento de forma regular.
 Al dañ o por virus, todo el software que llega se analiza en un sistema
utilizando software
 Se cuenta con muy buenos antivirus actualizados en todo momento
 A las equivocaciones, los empleados tienen buena formació n. Cuando se
requiere personal temporal se intenta conseguir a empleados
debidamente preparados. Se realizan jornadas de capacitació n al
personal.
 Al acceso no autorizado, se cierra la puerta de entrada. Se cuenta con
seguridad perimetral y con un sistema de cerrado de televisió n para
revisar los ingresos y salidas
 Los servidores que guardan la informació n está n en la nube de tal forma
que se garantiza contar con la informació n en todo momento y el
proveedor se encarga de los backups de la informació n.
 Hay Cortafuegos muy bien configurados para el trá fico de red
 Se cuentan con ups por si se presentan fallas en el suministro del fluido
eléctrico
 Se cuenta con software de monitoreo a varios niveles que permite medir
el desempeñ o de la infraestructura tecnoló gica.

Estrategias de recuperación

Se dispone las alternativas má s prá cticas para proceder en caso de un desastre.

Todos los aspectos de la organizació n son analizados, incluyendo hardware,
software, comunicaciones, archivos, bases de datos, instalaciones, etc. Las
alternativas a considerar varían segú n la funció n del equipo y pueden incluir
duplicació n de centros de datos, alquiler de equipos e instalaciones, contratos
de almacenamiento y muchas má s. Igualmente, se analiza los costos asociados.
Para el caso de la empresa la informació n va a estar guardada en la nube, hay
redundancia de componentes de hardware, hay personal capacitado
constantemente con jornadas de capacitació n bimensual y simulacros de
diversos temas.
 Se debe tener en cuenta un inventario de Hardware, impresoras,
lectoras, scanner, mó dems, fax y otros, detallando su ubicació n (software
que usa, ubicació n y nivel de uso institucional).
 Se debe emplear los siguientes criterios sobre identificació n y protecció n
de equipos:
o Pó lizas de seguros comerciales, como parte de la protecció n de los
activos institucionales y considerando una restitució n por equipos
de mayor potencia, teniendo en cuenta la depreciació n
tecnoló gica.

o Señ alizació n o etiquetamiento de las computadoras de acuerdo a

la importancia de su contenido y valor de sus componentes, para
dar prioridad en caso de evacuació n. Por ejemplo, etiquetar de
color rojo los servidores, color amarillo a los PC con informació n
importante o estratégica, y color verde a las demá s estaciones
(normales, sin disco duro o sin uso). Mantenimiento actualizado
del inventario de los equipos de có mputo requerido como mínimo
para el funcionamiento permanente de cada dependencia de la
empresa.

 Obtenció n y almacenamiento de Copias de Seguridad (Backups)

Se debe contar con procedimientos para la obtenció n de las copias de
seguridad de todos los elementos de software necesarios para asegurar la
correcta ejecució n de los sistemas en la empresa. Las copias de seguridad
son las siguientes:
o Backup del Sistema Operativo: o de todas las versiones de sistema
operativo instalados en la Red.
o Backup de Software Base: (Lenguajes de Programació n utilizados
en el desarrollo de los aplicativos institucionales).
o Backup del software aplicativo: backups de los programas fuente y
los programas ejecutables. Backups de los datos (Base de datos,
 passsword y todo archivo necesario para la correcta ejecució n del
software aplicativos de la institució n).

Inventario de activos informáticos junto a las amenazas a las que son

expuestos

Activo informático Amenazas

Bases de datos internas Son las bases de datos las cuales hacen parte de
cada uno de los departamentos de la empresa.
Las amenazas a las cuales se encuentran
expuestos son:
 Ingreso y acceso de intrusos y usuarios no
autorizados por el sistema ni por la base
de datos.
 Inyecció n de có digo maliciosos SQL
 Software oculto para realizar labores de
espionaje, sabotaje, robo cibernético y
vandalismo.
 Presencia de virus informá tico y gusanos
Pá gina web interna Esta es la llamada herramienta intranet la cual
(Intranet) facilita la comunicació n interna entre los
funcionarios y empleados de la empresa y facilita
el proceso de comunicació n entre secretarias; se
ve expuesta a las siguientes amenazas:
 Acceso de personas no autorizas por el
sistema, la red LAN o externos a la
empresa
 Virus informá tico
 Labores de espionaje
 Presencia y suplantació n de usuarios
 Sabotaje, robo de informació n
Equipos de red cableados Estos hacen referencias a:
 ENRUTADORES
 ROUTERS
 TARJETAS DE RED
 CABLEADO
 SWITCHES
Está n expuestos a amenazas como:
  Acceso de intrusos y usuarios no
autorizados por los sistemas ni por las
bases de datos de la empresa
 Virus informá ticos potentes como son las
bombas ló gicas y los troyanos que pueden
inutilizar una red LAN y una
infraestructura tecnoló gica por completo
 Robo de datos, informació n, reportes,
boletines, certificaciones electró nicas de
pago de impuestos así como el robo de
bases de datos completas
 Hacking de correos electró nicos, cuentas
de usuarios, contraseñ as, bases de datos y
acceso a los sistemas de informació n.
 Instalació n de software espía por parte de
usuarios mal intencionados
Cortafuegos Desactivació n y des configuració n intencional de
esta herramienta por parte de usuarios mal
intencionados
Servidores Está n expuestos a amenazas tales como:
 Dañ os en hardware, software
 Presencia de virus informá tico
Impresoras  Dañ os con los cartuchos y malas
calibraciones para la impresió n
 Des configuraciones en el software y los
controladores que manejan la impresora y
hacen el puente de conexió n con el
hardware de estos dispositivos
 Dañ os en hardware
Memorias portá tiles y  Software maliciosos y espía
dispositivos de  Presencia de virus informá tico
almacenamiento externos

Roles y responsabilidades
El momento de poner en marcha los procedimientos de recuperació n, es
importante tener definido los roles y las responsabilidades que asume cada
miembro del equipo:
 Estructura del equipo de recuperació n (organigrama general) Las
principales funciones de este equipo será n restablecer los servicios de
có mputo mediante la restauració n de la infraestructura, software
operativo, los sistemas, las telecomunicaciones y los datos. Proveerá un
enlace entre los esfuerzos de recuperació n de la Direcció n de Informá tica
y Tecnología y las á reas de negocio. El personal de la DIT también
apoyará con el reporte de evaluació n de dañ os en la infraestructura de
tecnología.

 Equipo de recuperació n La conformació n de equipo de recuperació n de

desastres tiene como objetivo establecer las distintas responsabilidades
para conseguir recuperació n exitosa ante una emergencia, teniendo en
cuenta el DRP establecido.

Roles El equipo de DRP tiene las siguientes responsabilidades:

 Definir controles preventivos necesarios y viables, con el fin de disminuir
la probabilidad de ocurrencia.
 Establecer, probar, ajustar y actualizar el DRP.
 Recuperar los servicios en el menor tiempo posible y dentro de los
tiempos establecidos.
 Realizar un informe acerca de las causas del desastre y en caso de ser
necesario modificar los controles y el DRP si así se requiere.

Fases de recuperación de desastres

Se recogen en este apartado las principales estrategias alternativas de

recuperació n y los tiempos estimados de restauració n de los servicios. La
restauració n de copias de seguridad de datos conforme a la política y
procedimientos aprobados por la Direcció n, las alianzas y acuerdos de
colaboració n Con proveedores alternativos para la sustitució n urgente de
componentes o elementos de hardware fallidos, la utilizació n y mantenimiento
de grupos electró genos y sistemas de alimentació n ininterrumpidos (UPS) que
cubran eventuales cortes en el suministro de energía eléctrica y la flexibilidad
para utilizar la sede alternativa de SIAP, ubicada geográ ficamente con
capacidad para la recuperació n de procesos críticos

 El restablecimiento de los sistemas tanto físicos como ló gicos incluyendo

instalaciones alternativas
o Sitio Alternativo con Infraestructura que pueda soportar
temporalmente los diferentes sistemas
o Equipos de Có mputo con Hardware con características similares
o Proveedor de Servicios de Hardware y Software

Prioridades de Recuperació n
 La recuperació n de los datos que contemple los procedimientos y planes
de seguridad
o Recuperació n de Má quinas Virtuales si las hay
o Recuperació n de Copias de Seguridad

 Prioridad Alta
o Canales de comunicació n - WAN
o Canal de Internet Local: Servidor de Internet
o Infraestructura de Red Local: Servidor de Dominio
o Herramientas de Gestió n de Servicios y su infraestructura de
apoyo: Servidores y Bases de Datos: Servidor BD
o Infraestructura de apoyo (Telefonía/telecomunicaciones y
aplicaciones) : Servidor Mesa de Ayuda

 Prioridad Media
o Correo electró nico: Servidor de Correo
o Servidor PROXY
Plan de retorno a la normalidad: La meta de la recuperació n y restauració n es
recobrar la operatividad de la organizació n manteniendo la entrega de
productos y servicios críticos. En esta etapa se incluyen las siguientes
actividades:
 Decidir donde reiniciar operaciones : Es necesario establecer si las
facilidades estropeadas se pueden reparar o si es necesario mantenerse
en el sitio alterno
 Adquirir los recursos adicionales para restaurar por completo la
operació n

Es importante contar también con una estrategia de revisió n y actualizació n del

plan, ya que con la evolució n del negocio y sus necesidades, probablemente se
deban replantear las estrategias. Esto debido a la adquisició n de nuevas
aplicaciones o cambio en la definició n de procesos críticos.

Recursos y presupuestos necesarios para la ejecución del plan

Un método sencillo para elaborar un plan de trabajo es organizar la

informació n recopilada sobre lo que se desea hacer en una secuencia
jerarquizada: comience por el objetivo, después pase a los resultados que
contribuyen a la consecució n de dicho objetivo y, por ú ltimo, a las tareas que
permitirá n lograr los resultados.
Entre los recueros necesarios para ejecutar este plan de gestió n de riesgos
informá ticos tenemos los siguientes:
 Acceso a computadores y servidores de la empresa (Solo usuarios
autorizados y personal del departamento de sistemas)
 Adquisició n de software especializado y herramientas tecnoló gicas para
el monitoreo constante de la elaboració n y documentació n de este tipo
de planes; así como el poder permitirle a personal del á rea de sistemas
realizar auditorías internas para evaluar có mo responde las diferentes
secretarias a las amenazas y riesgos informá ticos detectados con
anterioridad.
  Acceso a la red LAN (Departamento de sistemas y usuarios internos)

Periodicidad de los eventos a ejecutar

Los eventos a ejecutar después de desarrollado, documentado e implementado
en la prá ctica y en los diferentes departamentos de la empresa; será n validado
a través de la realizació n de diferentes auditorias informá ticas internas
ejecutadas por personal interno perteneciente al departamento de sistemas de
esta empresa, con una frecuencia de ejecució n bimestral en todas y cada una de
las secretarias evaluando el comportamiento y la respuesta a las amenazas y/o
riesgos informá ticos detectados previamente pudiendo analizar su estas
vulnerabilidades se han podido disminuir a lo má ximo o si se sigue presentado
una probabilidad de ocurrencia media o alta, esta labor será liderada por el jefe
de sistemas de esta dependencia junto a otros ingenieros de sistemas, el
administrador de base de dato y el responsable especializado en la
administració n de la red LAN

Herramientas software para realizar auditorías informáticas

recomiendas

Cuan se piensa en hacer una auditoria para una empresa no se puede pasar por
alto la relacionada a los sistemas informá ticos, la cual si no se cuenta con las
herramientas adecuadas puede llegar a ser bastante exhaustiva por toda la
informació n que se debe recopilar por cada uno de los equipos.
Normalmente cuando se hace auditoria a un equipo de có mputo es necesario
conocer con el mayor detalle posible cada una de las características del mismo,
sus componentes y el software que allí está instalado, sus respectivas licencias
y cualquier otra informació n que pueda ser clave para ser analizada por el
auditor, algo que si se hace de forma manual puede ser bastante complejo y
demorado, por eso la importancia de recurrir a herramientas de software que
faciliten el trabajo.

Actividades de protección sobre los datos

A veces es prá cticamente imposible poder garantizar un sistema o una

protecció n 100% segura; estando latente la posibilidad de riesgos y
vulnerabilidades por eso es importante adoptar este tipo de políticas y medidas
de seguridad informá tica y protecció n de la informació n para así disminuir al
má ximo estos riesgos; pero en casos o escenarios posibles donde un intruso o
usuario no autorizado por los sistemas y bases de datos relacionales de la
empresa tiene acceso a datos importantes y a la red LAN se puede considera la
opció n de poner otra barrera má s de seguridad en mi opinió n se puede
implementar procesos de encriptació n y cifrado de datos y registros en el caso
de las bases de datos de cada uno de los departamentos de la empresa, así a
pesar de que un usuario no autorizado o intruso acceda a las bases de datos, a
la red LAN y tenga acceso a informació n sensible y delicada de muy poco le
serviría ya que esta informació n estaría encriptado o cifrada lo cual no le
permitiría usarla para ningú n fin, uso u objetivo de sabotaje ya que para los
seres humanos datos encriptados y cifrados son prá cticamente
incomprensibles.

Encriptación es el proceso mediante el cual cierta informació n o texto sin

formato es cifrado de forma que el resultado sea ilegible a menos que se
conozcan los datos necesarios para su interpretació n. Es una medida de
seguridad utilizada para que al momento de almacenar o transmitir
informació n sensible ésta no pueda ser obtenida con facilidad por terceros.
Opcionalmente puede existir ademá s un proceso de des encriptació n a través
del cual la informació n puede ser interpretada de nuevo a su estado original,
aunque existen métodos de encriptació n que no pueden ser revertidos. El
término encriptació n es traducció n literal del inglés y no existe en el idioma
españ ol. La forma má s correcta de utilizar este término sería cifrado.

En un Sistema de Comunicació n de Datos, es de vital importancia asegurar que

la
Informació n viaje segura, manteniendo su autenticidad, integridad,
confidencialidad y el no repudio de la misma entre otros aspectos
Estas características solo se pueden asegurar utilizando las Técnicas de Firma
Digital Encriptada y la Encriptació n de Datos.
Otros métodos para la protecció n de los datos generados por las bases de datos
JCMP Software serian:
 Almacenamiento en dispositivos externos
 Almacenamiento en la nube remotamente de datos e informació n
sensible
 Discos duros espejo
 Fragmentació n de bases de datos
 Implementar bases de datos distribuidas en todas y cada una de las
secretarias.