AA13 - Evidencia 1: Plan de gestión de riesgos (PGR)

Elaboración del Plan de gestión de riesgos (PGR)

Gestión y Seguridad de Base de Datos

Presentado por: Jose Hoveimar Martínez Ordoñez

Instructor: Freddy Méndez Ortiz

Servicio Nacional de aprendizaje SENA

Noviembre, 2019
Cali Valle del Cauca
AA13 - Evidencia 1: Plan de gestión de riesgos (PGR)

INTRODUCCION

El Plan de Gestión de Riesgos (PGR) describe la estructura utilizada por el

Sistema de Gestión de la Seguridad de la Información (SGSI) para realizar la
gestión de riesgo en la organización.

La gestión de los riesgos de seguridad de la información son aquellos procesos

que reducen las pérdidas y brindan protección de la información, permitiendo
conocer las debilidades que afectan durante todo el ciclo de vida del servicio.

Es muy importante que las organizaciones cuenten con un plan de gestión de

riesgos para garantizar la continuidad del negocio. Por este motivo, se ha visto
la necesidad de desarrollar un análisis de riesgo de seguridad de la información
aplicado en La Alcaldía de San Antonio del Sena. Antes de iniciar con el plan de
gestión se ha revisado y diagnosticado el sistema actual de la alcaldía, donde
se pudo conocer la situación actual de la alcaldía y la identificación de los
activos con sus respectivas amenazas.

El plan está basado en la información de los casos de estudio de la Alcaldía de

San Antonio del Sena
AA13 - Evidencia 1: Plan de gestión de riesgos (PGR)

1. OBJETIVOS
1.1. Objetivo General
Desarrollar un plan de gestión de seguridad y privacidad que permita
minimizar los riesgos de
pérdida de activos de la información en la alcaldía de San Antonio del
Sena.
1.2. Objetivos específicos
 Plantear modelos de reportes para su posterior uso en cada
incidencia presentada en la alcaldía municipal.
 Gestionar los eventos de seguridad de la información para
detectar y tratar con eficiencia, en particular identificar si es
necesario o no clasificarlos como incidentes de seguridad de la
información.
 Determinar el alcance del plan de gestión de riesgos de la
seguridad y privacidad de la información.
 Definir los principales activos a proteger en la alcaldía.
 Identificar las principales amenazas que afectan a los activos.
 Proponer soluciones para minimizar los riesgos a los que está
expuesto cada activo.
 Evaluar y comparar el nivel de riesgo actual con el impacto
generado después de
 implementar el plan de gestión de seguridad de la información

2. Alcance del plan de gestión del riesgo (PGR)

Identificar los posibles riesgos a los que están expuestos los sistemas de
información de la alcaldía de San Antonio del Sena y establecer un plan de
acción a ejecutar en caso de llegaren a presentasen.

 Lograr el compromiso de la Alcaldía Municipal para emprender la

implementación del plan de gestión del riesgo en la seguridad de la
información.
 Designar funciones de liderazgo para apoyar y asesorar el proceso
de diseño e implementación del plan de gestión.
 Capacitar al personal de la entidad en el proceso de plan de gestión
del riesgo de la seguridad de la información.

3. Importancia de la gestión de riesgos

Es de vital importancia dar mayor prioridad para salvaguardar los activos de
información, debido a que los sistemas de información cada ves son mas
atacados ya sean por hackers malintencionados o como también podemos
perder nuestros datos ya sean por riesgos naturales, riesgos inherentes
relacionados con procesos no adecuados en el tratamiento de la misma
información, desconocimiento de normas y políticas de seguridad y el no
cumplimiento de estas, suelen ser los temas más frecuentes y de mayor
impacto presentes en las empresas. Una entidad sin un plan de gestión de
riesgos está expuesta a perder su información.

Por esta razón hay que estar preparados para prevenir todo tipo de ataques
o desastres, ya que cuando el costo de recuperación supera al costo de
prevención es preferible tener implementados
AA13 - Evidencia 1: Plan de gestión de riesgos (PGR)

planes de gestión de riesgos que permitan la continuidad del negocio tras

sufrir alguna pérdida o daño en la información de la entidad.

4. DEFINICION GESTIÓN DEL RIESGO

La definición estandarizada de riesgo proviene de la Organización
Internacional de Normalización (ISO), definiéndolo como “la posibilidad de
que una amenaza determinada explote las vulnerabilidades de un activo o
grupo de activos y por lo tanto causa daño a la organización”.

5. IDENTIFICACIÓN DEL RIESGO

 Riesgo estratégico: Se asocia con la forma en que se administra la

Entidad. El manejo del riesgo estratégico se enfoca a asuntos globales
relacionados con la misión y el cumplimiento de los objetivos
estratégicos, la clara definición de políticas, diseño y conceptualización
de la entidad por parte de la alta gerencia.
 Riego de imagen: Están relacionados con la percepción y la confianza
por parte de la ciudadanía hacia la institución.
 Riesgos operativos: Comprenden riesgos provenientes del
funcionamiento y operatividad de los sistemas de información
institucional, de la definición de los procesos, de la estructura de la
entidad y de la articulación entre dependencias.
 Riesgos financieros: Se relacionan con el manejo de los recursos de la
entidad que incluyen: la ejecución presupuestal, la elaboración de los
estados financieros, los pagos, manejos de excedentes de tesorería y el
manejo sobre los bienes.
 Riesgos de cumplimiento: Se asocian con la capacidad de la entidad
para cumplir con los requisitos legales, contractuales, de ética pública y
en general con su compromiso ante la comunidad, de acuerdo con su
misión.
 Riesgos de tecnología: Están relacionados con la capacidad tecnológica
de la Entidad para satisfacer sus necesidades actuales y futuras y el
cumplimiento de la misión.

6. SITUACION NO DESEADA
 Hurto de información o de equipos informáticos.
 Hurto de información durante el cumplimiento de las funciones
laborales, por intromisión
 Incendio en las instalaciones de la empresa por desastre natural o de
manera intencional.
 Alteración de claves y de información.
 Pérdida de información.
 Baja Cobertura de internet.
 Daño de equipos y de información
 Atrasos en la entrega de información
 Atrasos en asistencia técnica
 Fuga de información
 Manipulación indebida de información
AA13 - Evidencia 1: Plan de gestión de riesgos (PGR)

7. DESCRIPCIÓN DE LAS VULNERABILIDADES

La información digital se ve amenazada constantemente por errores

cometidos por los usuarios o ya sean ataques a los sistemas en la alcaldía
de San Antonio del Sena se han podido encontrar otras amenazas e impactos
sobre la misma como los descriptos a continuación:

 La red de internet implementada no es la más adecuada.

 Los puntos de red ubicados en cada oficina no son suficientes y se han
dispuesto nuevos según se va presentando la necesidad. No existe
una estructura o protocolo fijo y establecido para la infraestructura
física de la Alcaldía.
 No cuenta con sistemas operativos actualizados.
 Los equipos de computo que se utilizan ya son viejos y deben ser
renovados.
 No existen cuentas de usuario y claves para el acceso de los recursos
informáticos, en equipos compartidos.
 No hay control para el uso de memorias portátiles en los equipos de la
Alcaldía,
 exponiendo a perder la información por virus no detectados o daños
irreparables del hardware.
 Se identificó un completo desconocimiento del tema de seguridad y
privacidad de la información en la alcaldía.
 No existen procesos de copias de seguridad establecidos. Las copias
de seguridad se están realizando únicamente en las secretarías y/o
equipos donde se manejan software o sistemas de Información con un
servidor dedicado a dicho propósito.
 La alcaldía no cuenta con una planta de energía en caso de corte o
apagón.

8. Registro de riesgos

Es donde la información de los riesgos es mantenida y actualizada.

Incluye:

 Lista de riesgos.
 Lista de potenciales respuestas.
 Causas principales de los riesgos.
 Categorías de riesgo actualizadas.

Cuadro de Identificación de Riesgos del Proyecto.

AA13 - Evidencia 1: Plan de gestión de riesgos (PGR)

ID
DESCRIPCION DEL RIESGO AREA RESPONSABLE TIPO DE RIESGO
RIESGO
Desviación excesiva de las horas de dedicación
Departamento de Planificación y Control de
estimadas por parte de las integrantes del
R01 Gestión /Gerencia de Planificación y Riesgo del Proyecto
proyecto
Desarrollo

Departamento de Planificación y Control de

R02 Requisitos poco claros Gestión /Gerencia de Planificación y Riesgo del Producto
Desarrollo

Departamento de Planificación y Control de

R03 Falta de Experiencia en tareas de planificación Gestión /Gerencia de Planificación y Riesgo del Proyecto
Desarrollo

Departamento de Planificación y Control de

R04 Diseño Erróneo Gestión /Gerencia de Planificación y Riesgo del Producto
Desarrollo

9. ROLES Y RESPONSABILIDADES.

Líder de proyecto

Es responsable de planificar y ejecutar la gestión de riesgos, lo que implica las

siguientes responsabilidades:
 definir los roles en la gestión de riesgos y asignarlos a las personas
implicadas, dirigir y seguir el proceso de identificación y gestión de
riesgos, integrar la gestión de riesgos en el plan de gestión del
proyecto, resolución del conflicto y dar continuidad al proceso.

Responsable de riesgos

Cómo se puede ver en el registro de riesgos, cada riesgo considerado relevante

para el proyecto debe incluir un responsable. Estos responsables forman parte
del equipo del proyecto, y asumen este rol de forma adicional a sus tareas
habituales. Sus roles en la gestión de riesgos son:

 Ayudar en la definición de las acciones a tomar frente al riesgo del que

son responsables.
 Implementar y controlar las acciones definidas para el riesgo del que
son responsables.
 Evaluar y reportar la evolución de las acciones y el riesgo a lo largo
del proyecto.

Miembro del equipo del proyecto

La gestión de riesgos es un proceso que debe implicar a todos los integrantes

del proyecto, cada uno asumiendo diferentes roles y responsabilidades, pero
colaborando en identificar los riesgos y aplicar las acciones que correspondan.
De esta forma, los miembros del equipo del proyecto que no estén implicados en
los roles anteriores deben asumir las siguientes tareas:

 Aportar los conocimientos técnicos y experiencia para soportar en la

identificación y evaluación de riesgos, y en la definición de acciones.
 Dar soporte y participar en la implementación de las acciones definidas.
AA13 - Evidencia 1: Plan de gestión de riesgos (PGR)

10. Control y seguimiento de Riesgos.

Id. Responsable Fecha de Terminación Estado Observaciones

Responsable de
R01 Fin del Proyecto Iniciado
Riesgos
Gerente de
R02 Fin del Proyecto Iniciado
Proyecto
Gerente de
R03 Fin del Proyecto Iniciado
Proyecto
R04 Programador Fin del Proyecto Iniciado

Responsable: Persona o personas asignadas a la implantación de las

acciones preventivas y/o correctoras

Fecha Terminación: Fecha límite en la cual todas las acciones anteriormente

descritas deban haber sido ejecutadas por el responsable o responsables
asignados.

Estado: Estado Actual del Riesgo y de las Acciones Preventivas y/o

Correctoras.

Observaciones: Descripción de las observaciones encontradas para este

riesgo (opcional).

11. Acciones de Prevención y de Corrección.

ID RIESGO DESCRIPCION DEL RIESGO ACCIONES PREVENTIVAS ACCIONES CORRECTIVAS

Desviación excesiva de las horas de
Convocar una reunión para revisar
dedicación estimadas por parte de las Implementar el cambio a través del
R01 la
integrantes del proyecto control integrado de cambios
planificación.

Implementar medidas de control

Implementar el cambio a través del
R02 Requisitos poco claros y aseguramiento de calidad del
control integrado de cambios
producto

12. Control y seguimiento de Riesgos.

Id. Responsable Fecha de Terminación Estado Observaciones

Responsable de
R01 Fin del Proyecto Iniciado
Riesgos
Gerente de
R02 Fin del Proyecto Iniciado
Proyecto
Gerente de
R03 Fin del Proyecto Iniciado
Proyecto
R04 Programador Fin del Proyecto Iniciado

Responsable: Persona o personas asignadas a la implantación de las

acciones preventivas y/o correctoras

Fecha Terminación: Fecha límite en la cual todas las acciones

AA13 - Evidencia 1: Plan de gestión de riesgos (PGR)

anteriormente descritas deban haber sido ejecutadas por el responsable o

responsables asignados.

Estado: Estado Actual del Riesgo y de las Acciones Preventivas y/o

Correctoras.

Observaciones: Descripción de las observaciones encontradas para este

riesgo (opcional).

13. Periodicidad

Los eventos para ejecutar después de desarrollado, documentado e

implementado en la práctica y en las diferentes secretarias de la alcaldía de
San Antonio; serán validado a través de la realización de diferentes auditorias
informáticas internas ejecutadas por personal interno perteneciente al
departamento de sistemas de esta alcaldía, con una frecuencia de ejecución
bimestral en todas y cada una de las secretarias evaluando el
comportamiento y la respuesta a las amenazas y/o riesgos informáticos
detectados previamente pudiendo analizar estas vulnerabilidades se han
podido disminuir a lo máximo o si se sigue presentado una probabilidad de
ocurrencia media o alta, esta labor será liderada por el jefe de sistemas de
esta dependencia junto a otros ingenieros de sistemas, el administrador de
base de dato y el responsable especializado en la administración de la red
LAN

14. Categorías del riesgo

1 = insignificante
2 = bajo
3 = medio
4 = alto

15. MATRIZ ANALISIS DE RIESGOS

Como podemos observar en las siguientes imágenes vemos que se deben

implementar mejoras en cuanto a políticas de seguridad para salvaguardar
los datos de la alcaldía de San Antonio del Sena.

La matriz de análisis de riesgo nos ayuda a identificar donde hay una

magnitud del daño más significativa para así poder plantear una solución a
los riegos con mayor impacto en el funcionamiento de la alcaldía.
AA13 - Evidencia 1: Plan de gestión de riesgos (PGR)

Datos

Sistemas

Personal
AA13 - Evidencia 1: Plan de gestión de riesgos (PGR)

Análisis de riesgo promedio.