Está en la página 1de 23

AA13 EV1 PLAN DE GESTION DEL RIESGO

Objetivos y alcances del plan de gestin del riesgo


Con el desarrollo de este plan de gestin del riesgo aplicable a nuestro caso de estudio
Alcalda de San Antonio se pretende cumplir con los siguientes propsitos:
Clasificar y documentar todos y cada uno de los activos informticos que posee la
alcalda de San Antonio en su infraestructura de hardware y de software
Establecer los roles y responsabilidades en la gestin del riesgo
Identificar los recueros y presupuestos necesarios para la ejecucin del plan
Documentar la periocidad de los eventos a ejecutar
Clasificar los riesgos de acuerdo a una escala definida
Presentar el inventario de activos informticos junto a las amenazas a las que son
expuestos
Documentar y consolidar en este documento un plan de recuperacin antes desastre
realizado para la alcalda de San Antonio en otras evidencias de aprendizaje
Desarrollo
Una vez citados claramente todos y cada uno de los objetivos propuestos en el desarrollo de
este plan de gestin de riesgos informticos, es en este preciso momento en donde vamos a
dar inicio al desarrollo y cumplimiento de cada uno de los puntos y objetivos planteados
inicialmente.
Plan de recuperacin antes desastres alcalda de San Antonio: es un proceso de
recuperacin que cubre los datos, el hardware y el software crtico, para que un negocio pueda
comenzar de nuevo sus operaciones en caso de un desastre natural o causado por humanos.
Esto tambin debera incluir proyectos para enfrentarse a la prdida inesperada o repentina de
personal clave, aunque esto no sea cubierto en este artculo, el propsito es la proteccin de
datos.
Razones para recurrir a un DRP
Existen diferentes riesgos que pueden impactar negativamente las operaciones normales de
una organizacin. Una evaluacin de riesgo debera ser realizada para ver que constituye el
desastre y a que riesgos es susceptible una empresa especfica, incluyendo:

Catstrofes.
Fuego.
Fallos en el suministro elctrico.
Ataques terroristas.
Interrupciones organizadas o deliberadas.
Sistema y/o fallos del equipo.
Error humano.
Virus, amenazas y ataques informticos.
Cuestiones legales.
Huelgas de empleados.
Conmocin social o disturbios.
Prevencin ante los desastres

Se deben implementar las siguientes medidas estudiando los posibles casos d caos y
desastres tanto humanos, como informticos y naturales que pueden afectar el normal trabajo
de la alcalda de San Antonio para nuestro caso de estudio como son:

Pag No1

AA13 EV1 PLAN DE GESTION DEL RIESGO

Enviar respaldos fuera de sitio semanalmente para que en el peor de los casos no se
pierda ms que los datos de una semana.
Incluir el software as como toda la informacin de datos, para facilitar la recuperacin.
Si es posible, usar una instalacin remota de reserva para reducir al mnimo la prdida de
datos.
Redes de rea de Almacenamiento (San) en mltiples sitios son un reciente desarrollo
(desde 2003) que hace que los datos estn disponibles inmediatamente sin la necesidad
de recuperarlos o sincronizarlos.
Protectores de lnea para reducir al mnimo el efecto de oleadas sobre un delicado equipo
electrnico.
El suministro de energa ininterrumpido (SAI).
La prevencin de incendios - ms alarmas, extintores accesibles.
El software del antivirus.
El seguro en el hardware.
El plan

Para asegurar la continuidad del negocio, es recomendable partir de la siguiente premisa:


"Siempre desear lo mejor y planear para lo peor". En un buen plan existen diferentes factores
que hay que tomar en cuenta. Los ms importantes son:

El rbol telefnico: para notificar todo el personal clave del problema y asignarles tareas
enfocadas hacia el plan de recuperacin; en el caso de la alcalda de San Antonio se
deber contar con agendas electrnicas o en cuadernos que contengan todos los datos de
contacto de todos y cada uno de los integrantes en este caso del departamento de
sistemas para su posterior aviso dicha informacin deber tener correo electrnico, no de
telfono celular, telfono alterno, direccin de residencia; en cuanto a las funciones /o
labores que debern tener estas han debido estar documentadas y comentadas previo a la
ocurrencia de un desastre ya que es ms fcil que cada uno conozca sus labores,
responsabilidades y esto acelerara ms la normalizacin de todo lo referente a
infraestructura de hardware como de software.
Reservas de memoria: si las cintas de reserva son tomadas fuera de sitio es necesario
grabarlas. Si se usan servicios remotos de reserva se requerir una conexin de red a la
posicin remota de reserva (o Internet).
Clientes: la notificacin de clientes sobre el problema reduce al mnimo el pnico.
Instalaciones: teniendo sitios calientes o sitios fros para empresas ms grandes.
Instalaciones de recuperacin mviles estn tambin disponibles en muchos proveedores.
Trabajadores con conocimiento. Durante desastre a los empleados se les requiere trabajar
horas ms largas y ms agotadoras. Debe haber un sistema de apoyo para aliviar un poco
de tensin.
La informacin de negocio. Las reservas deben estar almacenadas completamente
separadas de la empresa (Cummings, Haag y 2005 McCubbrey). La seguridad y la
fiabilidad de los datos es clave en ocasiones como estas
Proceso de recuperacin

Despus de la posible ocurrencia de algn tipo de desastre y este afectara a la alcalda de San
Antonio y todos sus servicios, manejo de informacin, infraestructura de hardware, de software
y de red LAN se debern seguir los siguientes pasos y recomendaciones.

Comprar nuevo equipo (el hardware) o reparar o quitar virus, etc.


Llamar el abastecedor de software e instalar de nuevo el software.
Recuperar los discos de almacenaje que estn fuera de sitio.
Reinstalar todos los datos de la fuente de respaldo.
Volver a ingresar los datos de las pasadas semanas.
Tener estrategias peridicas de respaldos de base de datos.
Monitorear el proceso.
Pag No2

AA13 EV1 PLAN DE GESTION DEL RIESGO

Tecnologa
Para el proceso de recuperacin de algn desastre a alcalda de San Antonio deber adquirir
uno o varias de las siguientes herramientas tecnolgicas como son:

Biblioteca de cinta virtual.


Software de rplica sincrnico.
Tecnologa de almacenaje de rplica.
Servicio telefnico virtual PBX/HOSTED.
Backups remotos de reserva.
Protector de datos contino.
Sistema para la administracin de planes (Moebius).
Cloud

Podremos destacar como herramientas tecnolgicas que debe adquirir la alcalda de San
Antonio el software de rplica de almacenamiento HP 3PAR Remote Copy
Software de rplica de almacenamiento
Desea la capacidad de replicar datos en ubicaciones remotas para ms eficiencia y
rentabilidad? El software HP 3PAR Remote Copy proporciona a los centros de datos
empresariales y de nube una tecnologa de recuperacin ante desastres de nivel 1 y replicacin
autnoma que permite la proteccin y el uso compartido de los datos desde cualquier
aplicacin de forma simple, eficiente y asequible. El software Remote Copy reduce
significativamente el coste de la replicacin de datos remotos y la recuperacin ante desastres
aprovechando la tecnologa de copia ligera y permitiendo la replicacin con matrices de gama
media, todo flash y gama alta para ofrecer un rendimiento de coste exclusivo para la proteccin
de un conjunto ms amplio de aplicaciones.
Configuracin y pruebas en cuestin de minutos, lo que reduce la necesidad de servicios
profesionales. Con compatibilidad con replicacin a larga distancia sincrnica de varios
emplazamientos, peridica asincrnica y sincrnica, 3PAR Remote Copy ofrece una amplia
gama de opciones de replicacin para que los clientes consigan los objetivos de tiempo de
recuperacin estricta (RTO) y los objetivos de punto de recuperacin rpida (RPO).
Recursos
Solucin de replicacin simple y con una potencia nica
Ofrece una recuperacin ante desastres slida que puede configurarse y probarse en
minutos desde una nica consola de gestin de HP 3PAR.
Las capacidades de configuracin autnomas e integradas, nicas en el sistema de
almacenamiento HP 3PAR StoreServ, minimizan la necesidad de contratar servicios
profesionales comunes a las soluciones de replicacin de la competencia.
Proporciona configuraciones de rplica sincrnica a larga distancia, de varios modos y
de varios sitios, que permite a las organizaciones ahorrar en costes de hardware
cumpliendo con los objetivos de tiempo de recuperacin bajos (RTO) y los objetivos de
punto de recuperacin de prdida de datos cero (RPO), con una flexibilidad de
distancia completa.
Implementacin muy eficiente y flexible
Ofrece modos de replicacin peridicos sincrnicos o asincrnicos, uno a uno, de 1 a N
o configuracin de copia remota a larga distancia sincrnica, y puede tener licencia
solo para parte de la capacidad instalada para recuperacin ante desastres de
mltiples clientes flexible y eficiente.

Pag No3

AA13 EV1 PLAN DE GESTION DEL RIESGO

El servidor virtual, la aplicacin y la integracin de la solucin en nube simplifican la


recuperacin de desastres
Ofrece puntos de recuperacin coherente de las aplicaciones para una recuperacin
rpida a travs de la integracin con HP 3PAR Recovery Manager para VMware
vSphere, Microsoft Hyper-V, Microsoft Exchange y Microsoft SQL y Oracle.
Inventario de activos informticos junto a las amenazas a las que son expuestos
Se han podido identificar para el caso de estudio 2Alcaldia de San Antonio el siguiente
inventariado de activos informticos asociados a las amenazas a los que son expuestos
Activo informtico
Bases de datos internas

Amenaza
Son las bases de datos las cuales hacen parte de cada una de
las secretarias de la alcalda de San Antonio
Las amenazas a las cuales se encuentran expuestos son:
Inyeccin de cdigo maliciosos SQL
Ingreso y acceso de intrusos y usuarios no autorizados por el
sistema ni por la base de datos
Presencia de virus informtico y gusanos

Pgina web interna 8Intranet)

Software oculto para realizar labores de espionaje, sabotaje,


robo ciberntico y vandalismo
Esta es la llamada herramienta intranet la cual facilita la
comunicacin interna entre los funcionarios y empleados de la
alcalda de San Antonio y facilita el proceso de comunicacin
entre secretarias; se ve expuesta a las siguientes amenazas
Virus informtico
Presencia y suplantacin de usuarios
Acceso de personas no autorizas por el sistema, la red LAN o
externos a la alcalda
Sabotaje, robo de informacin

Sitio web externo de la alcalda


de San Antonio

Labores de espionaje
A las amenazas a la cuales se ve enfrentado son:
Inyeccin de cdigo SQL maliciosos para modificar, eliminar y
robar informacin de bases de datos las cuales corran bajo el
sitio web de la alcalda
Suplantacin de usuarios y secretarios as como del alcalde
mayor de la alcalda de San Antonio para el acceso a datos
importantes y el poder conseguir reportes, boletines,
certificaciones de pago de impuestos correspondientes a la
secretario de Hacienda

Chai interno

Virus informtico
Est expuesto a las siguientes amenazas
Suplantacin de la identidad, acceso de usuarios internos de la
alcalda de San Antonio
Virus informtico
Pag No4

AA13 EV1 PLAN DE GESTION DEL RIESGO

Robo de datos e informacin importante


Modificacin de datos y sabotaje

Equipos de red cableados

Usuarios no autorizados por el sistema los cuales puedan


eliminar datos, registros y reportes en las diferentes bases de
datos de cada una de las secretarias.
Estos hacen referencias a:
ROUTERS
TARJETAS DE RED
ENRRUTADORES
SIWCHES
CABLEADO
Estn expuestos a amenazas como:
Virus informticos potentes como son las bombas lgicas y los
troyanos que pueden inutilizar una red LAN y una
infraestructura tecnolgica por completo
Acceso de intrusos y usuarios no autorizados por los sistemas
ni por las bases de datos de las secretarias de la alcalda
Robo de datos, informacin, reportes, boletines, certificaciones
electrnicas de pago de impuestos as como el robo de bases
de datos completas
Instalacin de software espa por parte de usuarios mal
intencionados
Hackung de correos electrnicos, cuentas de usuarios,
contraseas, bases de datos y acceso a los sistemas de
informacin.

Equipos de re inalmbricos

Estos hacen referencias a:


ROUTERS
TARJETAS DE RED
ENRRUTADORES
SIWCHES
CABLEADO
Estn expuestos a amenazas como:
Virus informticos potentes como son las bombas lgicas y los
troyanos que pueden inutilizar una red LAN y una
infraestructura tecnolgica por completo
Acceso de intrusos y usuarios no autorizados por los sistemas
ni por las bases de datos de las secretarias de la alcalda
Robo de datos, informacin, reportes, boletines, certificaciones
electrnicas de pago de impuestos as como el robo de bases
de datos completas
Instalacin de software espa por parte de usuarios mal
intencionados
Hackung de correos electrnicos, cuentas de usuarios,
contraseas, bases de datos y acceso a los sistemas de
informacin.
Pag No5

AA13 EV1 PLAN DE GESTION DEL RIESGO

Cortafuegos

Desactivacin y desonfiguiacion intencional de esta herramienta


por parte de usuarios mal intencionados
Las amenazas a las que se pueden enfrentar son:

Servidores

Acceso y manipulacin de estos equipos bien sea local,


remotamente o fsicamente por usuarios no autorizados y mal
intencionados quienes puedan acceder a la red LAN
Presencia de virus informticos
Daos en hardware como en discos duros, ventiladores
Interrupcin del suministro de energa elctrica
Reinicios inesperados de los equipos servidores
Estn expuestos a amenazas tales como:

Computadores

Presencia de virus informtico


Daos en hardware, software
Impresoras

Daos con los cartuchos y malas calibraciones para la


impresin
Daos en hardware

Memorias porttiles y
dispositivos de
almacenamiento externos

Descofiguracinoes en el software y los controladores que


manejan la impresora y hacen el puente de conexin con el
hardware de estos dispositivos
Presencia de virus informtico
Software maliciosos y espa

Roles y responsabilidades en la gestin del riesgo


Datos
Activo informtico
Bases de datos internas

Controles para minimizar


el riesgo
Esto hace referencia a las
diferentes bases de datos
que hacen parte de todas y
de cada una de las
secretarias de la alcalda del
municipio de San Antonio;
dichas bases de datos son
relacionales y fueron
desarrolladas por los
siguientes motor de base de
datos como son:

Impacto del dao


(1 bajo, 2 medio,3 alto)
1

MYSQL
SQL SERVER R2 2008
Planes para efectuar copias
de seguridad
Polticas y sistemas para
implementar seguridad y
proteccin de los datos, los
Pag No6

AA13 EV1 PLAN DE GESTION DEL RIESGO

esquemas y estructuras de
estas bases de datos
Implementar encriptacin y
cifrado de datos
Documentar perfiles de
usuarios, contraseas,
accesos y privilegios en cada
una de las bases de datos

Bases de datos externas

Pgina web interna (Intranet)

Monitorear y hacer un
seguimiento peridico de los
servicios, estado en tiempo
real, conexiones,
concurrencia, trfico de red,
consumo en espacio de
disco entre otros aspectos
para verificar la operatividad
y continuidad en el
funcionamiento de estas
bases de datos.
Polticas y sistemas para
implementar seguridad y
proteccin de los datos, los
esquemas y estructuras de
estas bases de datos
Este es un servicio de
comunicacin interna dentro
de la alcalda el cual es
habilitado para cada uno de
los funcionarios y empleados
de las diferentes secretarias
que facilitaran el proceso de
trabajo interno y el
intercambio de informacin;
es necesario implementar
controles para disminuir los
daos o riesgos informticos
como son:

Configuracin de la red LAN


y de todos sus dispositivos
dando protocolos de
seguridad los cuales impidan
el ingreso de usuarios o
personas externas que no
laboren dentro de la alcalda
de San Antonio

Sitio web o pgina externa

Instalacin y puesta en
marcha de herramientas
para la supervisin y
actividades realizadas dentro
de la re LAN y en la internar
habilitada para esta alcalda.
Esta es la pgina web o sitio
el cual muestra al mundo la
imagen de la alcalda de San
Antonio; dando a los

Pag No7

AA13 EV1 PLAN DE GESTION DEL RIESGO

usuarios y comunidad en
general servicios de
consultas, descarga de
certificaciones de salud,
pagos de impuestos,
comparendos, eventos
deportivos, dando a conocer
noticias actualizadas y
poniendo a disposicin foros,
chats, debates interactivos,
encuestas de opinin entre
otros aspectos; para
disminuir los riesgos
informticos de daos y
amenaza se deben
implementar las siguientes
recomendaciones:
Administrar, gestionar y
supervisar el funcionamiento
y operatividad del sitio web a
travs de herramientas
suministradas por el
proveedor de internet y el
hosting contratado por la
alcaida como puede ser el C
PANEL el cual verifique
criterios como:

Chat interno

Espacio en disco
Trafico de red
Usuarios, conectados
Concurrencias
Bases de datos creadas
Actividad de las bases de
datos
Cuentas de correos
electrnico institucionales
Creacin de dominios
Creacin y disponibilidad de
repositorios digitales
Disponibilidad de
complementos.
Complementos de seguridad
Servicios centrados con el
proveedor
Este es un medio de
comunicacin interna entre
secretarias y funcionarios el
cual deber ser usado con
estndares de buena
convivencia, respeto por los
dems as como principios
de confidencialidad en el
intercambio de informacin,
documentos, carpetas, bases
de datos y sistemas
informticos internos de esta
alcalda; para disminuir los
riesgos y amenazas

Pag No8

AA13 EV1 PLAN DE GESTION DEL RIESGO

informticas de este tipo de


activo se debe implementar:
Labores peridicas de
mantenimientos y monitoreos
al comportamiento de este
servicio por parte del
departamento de sistemas e
ingenieros de esta alcalda
Documentar informacin de
todos y cada uno de los
usuarios, contraseas y
actividades realizadas en
este chat interno; para as
establecer los perfiles de
usuarios.

Chat externo

Bases de datos de
contraseas

Implementar polticas y
sistemas de seguridad en la
proteccin de los datos,
usuarios quienes hacen uso
de esta herramienta.
Labores peridicas de
mantenimientos y monitoreo
al comportamiento de este
servicio por parte del
departamento de sistemas e
ingenieros de esta alcalda
Documentar informacin de
todos y cada uno de los
usuarios, contraseas y
actividades realizadas en
este chat interno; para as
establecer los perfiles de
usuarios.
Estas bases de datos
representan fuentes de
consultas, cruces de datos
externos que se hacen
necesarios para cumplir los
objetivos misionales de la
alcalda de San Antonio; lo
cual representa riesgos
informticos los cuales se
pueden disminuir siguiendo o
poniendo en prctica
recomendaciones tales
como:

Implementar polticas de
seguridad, sistemas de
proteccin de los datos como
encriptacin y cifrados
Elaborar un log o bitcora de
actividades registradas por
los usuarios quienes
acceden internamente en las
Pag No9

AA13 EV1 PLAN DE GESTION DEL RIESGO

diferentes secretarias de
esta alcalda a las bases de
datos; registrando datos
como:
Fecha
Hora
Usuario
Clave
Base de datos accedida
Actividades realizadas
Fecha y hora de cierre de
sesin y conexin con la
base de datos

Correo electrnico

Implementar polticas y
planes para las copias de
respaldo de estas bases de
datos y bitcora de
actividades de usuarios.
Este servicio ser habilitado
y se podrn
crear cuentas de correo
electrnico nicamente
usando herramientas de
administracin del sitio web
de la alcalda de San Antonio
proporcionadas por la
empresa HOSTING ; estos
correos electrnicos sern
institucionales y no
personales en donde todos y
cada uno de los empleados y
funcionarios que laboran
dentro de esta alcalda
tendrn habilitada una
cuenta; para disminuir los
riesgos informticos se
deber implementar lo
siguiente:

El administrador del sitio web


deber pedir informacin del
nuevo funcionario o persona
interna de la alcalda que
solicite una nueva cuenta
como es
Nombres completos
Apellidos
Secretaria donde labora
Justificacin del por qu
necesita una nueva cuenta
Fecha de la solicitud
Es el administrador del sitio
web el encargado de analizar
y validar esta informacin y
crear la respectiva cuenta
Se deber documentar a
todos los usuarios, nombres
Pag No10

AA13 EV1 PLAN DE GESTION DEL RIESGO

de los correos electrnico y


los usuarios que les dan para
as hacer un seguimiento y
monitoreo para garantizar la
operatividad y continuidad de
este servicio.
Sistemas
Activo informtico
Equipos de red cableada

Controles para minimizar


el riesgo
Es la infraestructura de la red
LAN de la alcalda de San
Antonio la cual pude ser:
ROUTERS
SITWCHES
ENRRUTAODRES
TARJETAS DE RED

Impacto del dao (1 bajo, 2


medio,3 alto)
2

Para minimizar los riesgos y


amenazas informticas se
deber implementar lo
siguiente:
Documentacin de anlisis,
diseo e implementacin de
la red LAN de esta alcalda
escribiendo aspectos de
cableado, tecnologa usada,
arquitectura, topologa entre
otros aspectos
Realizar configuraciones a
los dispositivos de red lo cual
permita adoptar protocoles
de conectividad y seguridad
en la proteccin de los datos
y de la red LAN misma
Realizar labores de
mantenimientos preventivos
y correctivos los cuales
permitan garantizar la
operatividad de la red LAN

Equipos de red inalmbrica

Instalar y poner en marcha


herramientas tecnolgicas
para el monitoreo y
seguimiento peridico y en
tiempo real del
comportamiento de la red
LAN y de los servicios
suministrados.
Es la infraestructura de la red
LAN de la alcalda de San
Antonio la cual pude ser:
ROUTERS
SITWCHES
ENRRUTAODRES
TARJETAS DE RED

Pag No11

AA13 EV1 PLAN DE GESTION DEL RIESGO

Para minimizar los riesgos y


amenazas informticas se
deber implementar lo
siguiente:
Documentacin de anlisis,
diseo e implementacin de
la red LAN de esta alcalda
escribiendo aspectos de
cableado, tecnologa usada,
arquitectura, topologa entre
otros aspectos
Realizar configuraciones a
los dispositivos de red lo cual
permita adoptar protocoles
de conectividad y seguridad
en la proteccin de los datos
y de la red LAN misma
Realizar labores de
mantenimientos preventivos
y correctivos los cuales
permitan garantizar la
operatividad de la red LAN

Cortafuegos

Servidores

Instalar y poner en marcha


herramientas tecnolgicas
para el monitoreo y
seguimiento peridico y en
tiempo real del
comportamiento de la red
LAN y de los servicios
suministrados.
Se debern habilitar en todas
y cada una de las estaciones
de trabajo, nodos de la red
LAN as como en los equipos
servidores los cuales harn
parte de la infraestructura
tecnolgica d la alcalda de
San Antonio
Estos son equipos de
cmputo de gran potencia,
importancia y sensibilidad
para el funcionamiento del
negocio ya que cumplen
labores de respaldo de
datos, alojamiento de bases
de datos, procesos de
replicacin, gestin y manejo
del trfico de red LAN,
alojamiento de la bodega de
datos de la alcalda de San
Antonio as como el poder
atender solicitudes de
consultas de mltiples
usuarios de diferentes
localidades o secretarias.
Para poder disminuir al
mximo riesgos, amenazas y

Pag No12

AA13 EV1 PLAN DE GESTION DEL RIESGO

vulnerabilidades informticas
se deber implantar lo
siguiente:
Garantizar el suministro
interrumpido 7X24 de
energa elctrica a estos
equipos de computo
Implementar planes de
mantenimientos preventivos
y correctivos a estos equipos
por parte de personal tcnico
del departamento de
sistemas de la alcalda de
San Antonio documentado el
paso a paso y los resultados
obtenidos en este proceso.
Instalar y poner en marcha
herramientas para el
monitoreo, supervisin y
seguimiento peridico del
rendimiento y
comportamiento real del
sistema operativo de estos
equipos que para el caso de
la alcalda de San Antonio
ser WINDOWS SERVER
2012.
Implementar polticas y
planes de contingencias para
respaldos y copia de datos
importantes de estos equipos
en forma externa y
remotamente usando
dispositivos de
almacenamiento externos y
servicios de alojamiento en
la nueve privada

Computadores

Elaborar un inventariado
completo de la condiciones
de funcionamiento en
software y en hardware de
estos equipos de cmputo
para evaluar planes de
escalonamiento y
mejoramiento en hardware y
software adecuando nuevos,
mejores discos duros,
mejores herramientas de
software as como la
aplicacin e incremento de
memoria RAM.
Se deber tener en cuenta lo
siguiente:

Implementar labores de
Pag No13

AA13 EV1 PLAN DE GESTION DEL RIESGO

mantenimientos peridicos
preventivos y correctivos por
parte el personal de soporte
tcnico de la pdependicai de
sistemas de la alcalda de
San Antonio lo cual genere
una documentacin la cual
se tenga en cuenta para el
mejoramiento constante en
infraestructura y repotenciar
los equipos de cmputo
existentes dentro de esta
alcalda.

Programas de manejo de
proyectos

Programar copias de
seguridad y respaldo de
datos peridicos local o
remotamente usando
herramientas como SYNC
TOY
En esta alcalda se
adquieren con regularidad
programas para el diseo,
ejecucin y programacin de
tareas de diferentes
proyectos los cuales debern
ser ejecutados por todas y
cada una de las secretarias
de este despacho municipal
para disminuir riesgos
informticos,
vulnerabilidades i sanciones
se deber implementar lo
siguiente:

Adquisicin de contratos de
licenciamiento para el uso y
explotacin de este tipo de
software si son de uso
comercial
Adquisicin y contrato de
licencia para el uso y
explotacin de este tipo de
programa informticos a si
sea de uso libre o gratuito;
este tipo de contrato as
como los de uso comercial
deber tener asociados
datos como.
Fecha
Nombre del producto o
herramienta tecnolgica
Condiciones de uso
Entidad, sitio web o empresa
que facilita esta herramienta
Pag No14

AA13 EV1 PLAN DE GESTION DEL RIESGO

Responsabilidades del
usuario final

Programas de produccin de
datos

Responsabilidades del
proveedor del servicio o
programa informtico.
Adquisicin de contratos de
licenciamiento para el uso y
explotacin de este tipo de
software si son de uso
comercial

Adquisicin y contrato de
licencia para el uso y
explotacin de este tipo de
programa informticos a si
sea de uso libre o gratuito;
este tipo de contrato as
como los de uso comercial
deber tener asociados
datos como.
Fecha
Nombre del producto o
herramienta tecnolgica
Condiciones de uso
Entidad, sitio web o empresa
que facilita esta herramienta
Responsabilidades del
usuario final

Impresoras

Memorias porttiles

Responsabilidades del
proveedor del servicio o
programa informtico.
Se debern realizar labores
peridicas de
mantenimientos preventivos
y correctivos a las
impresoras con las cuales
cuenta la alcalda de San
Antonio; generado
documentacin tcnica la
cual ser tenida en cuenta el
momento de adquirir nuevas
y ms modernas impresoras
y mejorar las ya existentes.
Se deber realizar un
anlisis o escaneo en detalle
ejecutando programas de
antivirus y de seguridad
informtica con los que
cuenta la alcalda de San
Antonio para evitar:

Presencia de virus
Pag No15

AA13 EV1 PLAN DE GESTION DEL RIESGO

informtico
Presencia de gusanos
informticos
Sabotaje
Software malicioso
Software espa
Personal
Responsable
Alcalde mayor de San
Antonio

Funciones
Es la mxima autoridad del
municipio de San Antonio y
sus funciones son:

Cumplimiento
Si

Implementar polticas para el


mejoramiento de la vida de
todos y cada uno de los
habientes del municipio
Implementar, liderar y
coordinar proyectos con la
secretaria de gobierno
Liderar proyectos y planes
de mejoramiento en las
secretarios de hacienda,
salud, medio ambiente,
deportes y reaccin
Presentar al consejo
municipal informes de
gestin de su gobierno
Hacer un buen uso de la
infraestructura tecnolgica
de la alcalda de San Antonio
y de los diferentes equipos
de computo

Secretario de Hacienda

Dar a conocer al
departamento de sistemas
nuevas necesidades,
problemticas y
requerimientos a ser
solucionadas con la ayuda
de nuevas tecnologas y
mejorar las que ya se tienen.
Hacer buen uso de la
infraestructura tecnolgica y
de los equipos de cmputo
de la secretaria de Hacienda

SI

Liderar e implementar
proyectos y planes de
mejoramiento en esta
secretaria para el beneficio
Pag No16

AA13 EV1 PLAN DE GESTION DEL RIESGO

del municipio

Secretario de Gobierno

Dar a conocer al
departamento de sistemas
nuevas necesidades,
problemticas y
requerimientos a ser
solucionadas con la ayuda
de nuevas tecnologas y
mejorar las que ya se tienen.
Hacer buen uso de la
infraestructura tecnolgica y
de los equipos de cmputo
de la secretaria de Gobierno

SI

Liderar e implementar
proyectos y planes de
mejoramiento en esta
secretaria para el beneficio
del municipio

Secretario de Medio
Ambiente

Dar a conocer al
departamento de sistemas
nuevas necesidades,
problemticas y
requerimientos a ser
solucionadas con la ayuda
de nuevas tecnologas y
mejorar las que ya se tienen.
Hacer buen uso de la
infraestructura tecnolgica y
de los equipos de cmputo
de la secretaria de Medio
Ambiente

SI

Liderar e implementar
proyectos y planes de
mejoramiento en esta
secretaria para el beneficio
del municipio

Secretario de Salud

Dar a conocer al
departamento de sistemas
nuevas necesidades,
problemticas y
requerimientos a ser
solucionadas con la ayuda
de nuevas tecnologas y
mejorar las que ya se tienen.
Hacer buen uso de la
infraestructura tecnolgica y
de los equipos de cmputo
de la secretaria de Salud

SI

Liderar e implementar
proyectos y planes de
mejoramiento en esta
secretaria para el beneficio
del municipio

Pag No17

AA13 EV1 PLAN DE GESTION DEL RIESGO

Secretario de Deportes y
Recreacin

Dar a conocer al
departamento de sistemas
nuevas necesidades,
problemticas y
requerimientos a ser
solucionadas con la ayuda
de nuevas tecnologas y
mejorar las que ya se tienen.
Hacer buen uso de la
infraestructura tecnolgica y
de los equipos de cmputo
de la secretaria de
Recreacin y Deportes

SI

Liderar e implementar
proyectos y planes de
mejoramiento en esta
secretaria para el beneficio
del municipio

Jefe de Sistemas

Dar a conocer al
departamento de sistemas
nuevas necesidades,
problemticas y
requerimientos a ser
solucionadas con la ayuda
de nuevas tecnologas y
mejorar las que ya se tienen.
Es la persona encargada de:
Liderar y gerencia proyectos
informticos

SI

Definir polticas y sistemas


de seguridad para la
proteccin de los datos, las
bases de datos, los sistemas
informticos y la red LAN
Supervisar la administracin
y mantenimiento de las
bases de datos de esta
alcalda lo cual garantice su
operatividad y continuidad
Coordinar el desarrollo de
sistemas de informacin y
nievas herramientas
tecnolgicas a ser
implementadas por esta
alcalda.

Administrador de Base de
Datos Alcalda de San
Antonio

Supervisar la
implementacin de planes
para copias de seguridad y
respaldo de datos que
realice el administrador de
base de datos
Administrar, mantener y
garantizar la operatividad,
funcionabilidad y continuidad

SI

Pag No18

AA13 EV1 PLAN DE GESTION DEL RIESGO

Informtica Soporte Tcnico

de las bases de datos de


esta alcalda
Efectuar planes de
mantenimientos preventivos
y correctivos a los
computadores, servidores e
infraestructura de la red LAN
de la alcalda del municipio
de San Antonio.

Recueros y presupuestos necesarios para la ejecucin del plan


Un mtodo sencillo para elaborar un plan de trabajo es organizar la informacin recopilada
sobre lo que se desea hacer en una secuencia jerarquizada: comience por el objetivo, despus
pase a los resultados que contribuyen a la consecucin de dicho objetivo y, por ltimo, a las
tareas que permitirn lograr los resultados. A continuacin se muestra un plan de trabajo
parcial correspondiente a uno de los diversos objetivos posibles:

Entre los recueros necesarios para ejecutar este plan de gestin de riesgos informticos
tenemos los siguientes:
Acceso a computadores y servidores de la alcalda de San Antonio (Solo usuarios autorizados
y personal del departamento de sistemas)
Acceso a la red LAN (Departamento de sistemas y usuarios internos)
Adquisicin de software especializado y herramientas tecnolgicas para el monitoreo constante
de la elaboracin y documentacin de este tipo de planes; as como el poder permitirle a
personal del rea de sistemas realizar auditoras internas para evaluar cmo responde las
diferentes secretarias a las amenazas y riesgos informticos detectados con anterioridad.
Periocidad de los eventos a ejecutar
Los eventos a ejecutar despus de desarrollado, documentado e implementado en la prctica y
en las diferentes secretarias de la alcalda de San Antonio; sern validado a travs de la
realizacin de diferentes auditorias informticas internas ejecutadas por personal interno
perteneciente al departamento de sistemas de esta alcalda, con una frecuencia de ejecucin
bimestral en todas y cada una de las secretarias evaluando el comportamiento y la respuesta a
las amenazas y/o riesgos informticos detectados previamente pudiendo analizar su estas
vulnerabilidades se han podido disminuir a lo mximo o si se sigue presentado una
probabilidad de ocurrencia media o alta, esta labor ser liderada por el jefe de sistemas de esta
dependencia junto a otros ingenieros de sistemas, el administrador de base de dato y el
responsable especializado en la administracin de la red LAN

Pag No19

AA13 EV1 PLAN DE GESTION DEL RIESGO

Herramientas software para realizar auditoras informticas recomiendas


Cuan se piensa en hacer una auditoria para una empresa no se puede pasar por alto la
relacionada a los sistemas informticos, la cual si no se cuenta con las herramientas
adecuadas puede llegar a ser bastante exhaustiva por toda la informacin que se debe
recopilar por cada uno de los equipos.
Normalmente cuando se hace auditoria a un equipo de cmputo es necesario conocer con el
mayor detalle posible cada una de las caractersticas del mismo, sus componentes y el
software que all est instalado, sus respectivas licencias y cualquier otra informacin que
pueda ser clave para ser analizada por el auditor, algo que si se hace de forma manual puede
ser bastante complejo y demorado, por eso la importancia de recurrir a herramientas de
software que faciliten el trabajo.
WinAudit es un software muy sencillo, liviano, gratuito y adems portable, que de manera
rpida nos ofrece un completo anlisis de cualquier computador que funcione bajo el sistema
Windows.

Al descargar WinAudit lo primero que se destaca es su pequeo tamao de apenas 1,6 MB,
seguido de que no es necesario instalarlo para poderlo utilizar, facilitando as que podamos
llevarlo en cualquier USB y ejecutarlo sin necesidad de alterar el equipo que vayamos a
analizar. Como si fuera poco, esta herramienta es totalmente gratuita y de cdigo abierto.
El uso de WinAudit es bastante simple, solo basta con ejecutarlo y de inmediato la
herramienta empieza a analizar todo el hardware y software de nuestra mquina, listando cada
uno de los componentes, sus caractersticas especficas, programas instalados con todos
los detalles posibles para cada uno de ellos, y una gran cantidad de informacin extra con la
que seguramente se puede disponer de un informe completo, que podremos guardar en
formato HTML, CSV o RTF.
Actividades de proteccin sobre los datos
A veces es prcticamente imposible poder garantizar un sistema o una proteccin 100%
segura; estando latente la posibilidad de riesgos y vulnerabilidades por eso es importante
adoptar este tipo de polticas y medidas de seguridad informtica y proteccin de la informacin
en este caso de la alcalda de San Antonio para as disminuir al mximo estos riesgos; pero en
Pag No20

AA13 EV1 PLAN DE GESTION DEL RIESGO

casos o escenarios posibles donde un intruso o usuario no autorizado por los sistemas y bases
de datos relacionales de la alcalda de San Antonio tiene acceso a datos importantes y a la red
LAN se puede considera la opcin de poner otra barrera ms de seguridad en mi opinin se
puede implementar procesos de encriptacin y cifrado de datos y registros en el caso de las
bases de datos de cada una de las secretarias de la alcalda de San Antonio, as a pesar de
que un usuario no autorizado o intruso acceda a las bases de datos, a la red LAN y tenga
acceso a informacin sensible y delicada de muy poco le servira ya que esta informacin
estara encriptado o cifrada lo cual no le permitira usarla para ningn fin, uso u objetivo de
sabotaje ya que para los seres humanos datos encriptados y cifrados son prcticamente
incomprensibles.
Encriptacin es el proceso mediante el cual cierta informacin o texto sin formato es cifrado de
forma que el resultado sea ilegible a menos que se conozcan los datos necesarios para su
interpretacin. Es una medida de seguridad utilizada para que al momento de almacenar o
transmitir informacin sensible sta no pueda ser obtenida con facilidad por terceros.
Opcionalmente puede existir adems un proceso de des encriptacin a travs del cual la
informacin puede ser interpretada de nuevo a su estado original, aunque existen mtodos de
encriptacin que no pueden ser revertidos. El trmino encriptacin es traduccin literal del
ingls y no existe en el idioma espaol. La forma ms correcta de utilizar este trmino sera
cifrado.
Criptologia: La encriptacin como proceso forma parte de la criptologa, ciencia que estudia
los sistemas utilizados para ocultar la informacin.
La criptologa es la ciencia que estudia la transformacin de un determinado mensaje en un
cdigo de forma tal que a partir de dicho cdigo solo algunas personas sean capaces de
recuperar el mensaje original.

La mayora de los algoritmos modernos del cifrado se basan en una de las siguientes dos
categoras de procesos:
Problemas matemticos que son simples pero que tienen una inversa que se cree (pero no se
prueba) que es complicada
Secuencias o permutaciones que son en parte definidos por los datos de entradas.

Pag No21

AA13 EV1 PLAN DE GESTION DEL RIESGO

Usos de la Encriptacin
Algunos de los usos ms comunes de la encriptacin son el almacenamiento y transmisin de

informacin sensible como contraseas, nmeros de


identificacin legal, nmeros de tarjetas de crdito, reportes administrativo-contables y
conversaciones privadas, entre otros.
Como sabemos, en un Sistema de Comunicacin de Datos, es de vital importancia asegurar
que la Informacin viaje segura, manteniendo su autenticidad, integridad, confidencialidad y el
no repudio de la misma entre otros aspectos
Estas caractersticas solo se pueden asegurar utilizando las Tcnicas de Firma Digital
Encriptada y la Encriptacin de Datos.
Otros mtodos para la proteccin de los datos generados por las bases de datos de la alcalda
de San Antonio serian:
Almacenamiento en dispositivos externos
Almacenamiento en la nube remotamente de datos e informacin sensible
Discos duros espejo
Fragmentacin de bases de datos
Implementar bases de datos distribuidas en todas y cada una de las secretarias.

Pag No22

AA13 EV1 PLAN DE GESTION DEL RIESGO

Referencias bibliogrficas.
En esta parte del documento de anlisis de riesgos se van a adjuntar todas y cada una las
fuentes bibliogrficas las cuales fueron tenidas en cuenta al momento de construir este informe
y poder dar solucin a la evidencia de aprendizaje planteada como son:
Anlisis de riesgo informtico
https://es.wikipedia.org/wiki/An%C3%A1lisis_de_riesgo_inform%C3%A1tico#Proceso_de_an.C
3.A1lisis_de_riesgos_inform.C3.A1ticos
Anlisis de riesgo informtico, seguridad informtica http://redyseguridad.fip.unam.mx/proyectos/seguridad/AnalisisRiesgos.php
Gestin del riesgo en la seguridad
https://protejete.wordpress.com/gdr_principal/analisis_riesgo/
Que es y por qu hacer anlisis de riesgo http://www.welivesecurity.com/la-es/2012/08/16/enque-consiste-analisis-riesgos/
Tutorial de la seguridad de la informacin http://redyseguridad.fip.unam.mx/proyectos/tsi/capi/Cap5.html
Seguridad informtica https://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica
Polticas de seguridad informtica gestin integral www.gestionintegral.com.co/.../Polticas-deSeguridad-Informtica-2013
Manual de polticas y estndares en seguridad informtica www.intenalco.edu.co/MP_V01.pdf
Polticas y normas de seguridad informtica
www.cvs.gov.co/.../Politicas_de_Seguridad_Informatica_CVS_2011-.pd
Ejemplos de polticas de seguridad informtica en una organizacin
https://prezi.com/.../ejemplos-de-politicas-de-seguridad-informatica-en-u...
Seguridad informtica, polticas de respaldo y soporte
https://www.youtube.com/watch?v=OagvKpKJpWc
Seguridad informtica, acceso fsico, polticas y estndares
https://www.youtube.com/watch?v=gzgXELz85RI
Herramientas para la supervisin y gestin de WINDOWS SERVER 2012 R2
https://administracionsistemasoperativos201415.wordpress.com/2015/03/02/herramientas-parala-supervision-y-gestion-de-windows-server-2012-r2/
Encriptacin de datos http://encripdedatos.blogspot.com.co/

Pag No23