INFORME DE GESTIÓN DEL RIESGO EN UN SERVIDOR DE BASE DE

DATOS

INTEGRANTES:

LUIS DAVID MAZO ARIAS

ELMER GIL
WILLIAM GAMBOA
CAMILO ANDRES MONTAÑO

PRESENTADO A:
JOSE IGNACIO LOZANO

DIPLOMADO EN AUDITORÍA DE SISTEMAS

UNIVERSIDAD DEL PACÍFICO
 INTRODUCCIÓN

A continuación, vamos a evidenciar cuales son los posibles riesgos de una

organización, también se describirán cada tipo de riesgos, así mismo se mostrarán
para nosotros cuales son los posibles controles que se pueden utilizar para lograr
disminuir los riesgos que puede tener el servidor de base de datos de una empresa.

OBJETIVO GENERAL
Realizar un informe sobre la gestión del riesgo en un servidor de base de datos.

OBJETIVOS ESPECÍFICOS
• Conocer cuáles son los riesgos de nivel alto, medio y alto.
• Describir los distintos riesgos.
• Presentar controles para disminuir el impacto de dichos riesgos.

ALCANCE
Lograr conseguir que todos los controles logren disminuir en su máximo nivel los
efectos que puedan presentar los riesgos.
Valores del riesgo ALTO:

Falla en la seguridad física de acceso al servidor:

Sucede cuando se vulneran los distintos tipos de seguridad que la compañía
dispone a la hora de proteger la parte física del servidor.
Controles:

Control de acceso (con huella biométrica)

Control de salida a las personas y objetos personales (con scanner)
Someter a requisar a todo el personal (por un vigilante)
Revisión periódica a la cámara de seguridad

Falla en el canal de comunicaciones (LAN):

Cuando hay un fallo en el canal de comunicaciones (LAN) esta puede suceder de
muchas formas, tanto de configuración, como en la parte física (de cableado).
Controles:

Revisión de la correcta conexión interna (si hay acceso a la red)

Revisión de la correcta conexión externa (cables, modem, etc)
Asegurarse si hay fallas con el proveedor de internet
Mantenimiento periódico a la Red

Valores del riesgo MEDIO:

Variación en las condiciones del suministro de energía:

Muchas veces se piensa que los problemas con la energía eléctrica no pueden
suceder y las compañías regularmente no se preocupan por esto, sin embargo,
manteniendo buenos controles se puede por lo menos tener la tranquilidad que el
servicio se mantendrá por lo menos hasta que se solucione el problema (riesgo).

Controles:

Mantenimiento periódico a los conductos de energía

Mantener el pago periódico del servicio de energía
Establecer paneles solares (en caso de falla del servicio)
Suministro alterno de energía, en caso de fallar el servicio (Ups)
Saturación de tráfico en la LAN:
La red LAN se puede congestionar cuando se intentan pasar archivos de mucho
peso al mismo tiempo, por lo tanto, lo mejor es mantener un trafico menos pesado
para evitar congestionar la red.
Controles:

Tener una topología de Red el cual se adapte adecuadamente a lo que queremos

Evaluar están la cantidad de tráfico, la tasa de transmisión y el porcentaje de utilización
Tener un diseño de capa 3 entre distribución y acceso
mediante herramientas para monitorear y analizar el tráfico de red

Falla en uno de los discos del servidor:

Los discos duros de los servidores, tienden a fallar después de determinada vida
de uso, también puede ser que los discos llenen totalmente el almacenamiento.

Controles:
Discos adicionales
Controladora de arreglo de discos
almacenamiento externo
Replicación en línea

Falla en el canal de comunicaciones (WAN):

Esta clase de fallos se pueden presentar en casos en que la distribución de los
modems, repetidores y demás, pueden estar en sitios donde la señal no es bien
aprovechada.
Controles:

Interfaz de acceso básico (Basic Rate Interface, BRI)

Gestión de Ancho de Banda.
Hardware necesario para una solución más fiable, estable,
escalable y contrastada, que evite que se produzcan costos ocultos tales como caídas de red con
el consecuente impacto para la productividad de la empresa.
Actualización de software en los equipos de la red

Falta de actualizaciones del software:

Los softwares, periódicamente sueltan actualizaciones para que se mejore
continuamente dicho sistema, por lo tanto, lo mejor es hacer caso a las
actualizaciones para mantenerse protegidos de cualquier error en dichos softwares.
Controles:
Mantener atento al personal encargado de TI

Aplicar todos los parches en los sistemas operativos que uses en tu empresa
e implementes las actualizaciones en cuanto estén disponibles.

Activar las actualizaciones automáticas del sistema operativo y del software que uses
en tus equipos y dispositivos de empresa.
Monitorear las actualizaciones pendientes para evitar fallos

Ataques informáticos a través de la red:

Los ataques informáticos son muy regulares por parte de personas mal
intencionadas, por lo tanto, lo mejor que se puede hacer es mantenerse a la
defensiva con estos tipos de ataques.
Controles:
Aislar la red, ocultando tras un firewall
actualización constante
controlar el acceso físico
Tener instalado un antivirus con protección en tiempo real

Falla parcial del sistema operativo:

Pueden suceder muchos fallos parciales en un sistema operativo, tal vez el software
haya sido desconfigurado de algún modo con o sin intención.
Controles:

Reiniciar el equipo
Hacer pruebas o chequeos para identificar la falla
Hacer un backup para evitar una perdida mayor

Falla en el sistema de aire acondicionado:

El sistema de aire acondicionado es una parte importante para los equipos, porque
los mantiene refrigerados y los protege por lo tanto de un calentamiento y una
posible falla.
Controles:

Identificar y cambiar el equipo que tenga fallas

Hacer una reparación por parte de personal capacitado
Mantener un control de mantenimiento
Baja capacidad de procesamiento:
A la hora de trabajar en un servidor de base de datos, se debe tener un procesador
medianamente potente para poder mantener un buen funcionamiento permanente.
Control:

Aumentar los core del CPU para un mayor procesamiento.

Saturación de tráfico en la WAN:

Para esta situación, se espera que haya un tráfico moderado, que no se
sobrecargue la WAN por los distintos usuarios, evitar entrar a sitios los cuales
puedan afectar o saturar el tráfico de la WAN.
Controles:

Manejar un control adecuado de red

Tener la topología adecuada
Controlar las descargas, acceso a redes social, y todo tipo de página innecesaria
Uso de temporizadores en TCP

CONCLUSIÓN

Es importante crear un plan de gestión de riesgo, dado el caso que la empresa lo

requiera o no, se debe mantener a la defensiva en cuanto a cualquier tipo de
amenaza para las distintas áreas de la organización, en este caso, el del servidor
de base de datos.
Las organizaciones muchas veces subestiman los riesgos que puedan afectar a la
compañía y hasta el momento que suceden las catástrofes, ahí sí buscan soluciones
para las mismas.