AA11-Evidencia1: Características y funciones de seguridad del SGBD.

Presentado por:
Farley Giovanni González Londoño
Cedula: 98713087
Ficha:
1881790

Instructora:
Candelaria Victoria Suarez Beleño

Servicio Nacional de Aprendizaje SENA

Especialización tecnológica en gestión

Y seguridad de bases de datos

2019
 Introducción

Esta actividad permitirá adquirir destrezas en el manejo de la configuración,

características y funciones del sistema manejador de base de datos (SMBD),
para ello se abordarán temas como las versiones relacionados con el sistema
operativo, conceptos técnicos de los aplicativos y la instancias que nos
permitirán la instalación del software en distintos sistemas operativos.
 1. ¿Qué es la Matriz de Análisis De Riesgos?

Una matriz de riesgos es una herramienta que nos permite identificar los
riesgos más significativos inherentes a las actividades de una organización,
tanto de procesos como de fabricación de productos o puesta en marcha de
servicios. Por lo tanto, es un instrumento válido para mejorar el control de
riesgos y la seguridad de una institución.

A través de este instrumento se puede realizar un diagnóstico objetivo y global

de empresas de diferentes tamaños y sectores de actividad. Asimismo,
mediante la matriz de riesgo es posible evaluar la efectividad de la gestión de
los riesgos, tanto financieros como operativos y estratégicos, que están
impactando en la misión de una determinada organización.

Características

Con el fin de garantizar su eficacia y utilidad, una matriz de riesgo debe tener
las siguientes características:

 Debe ser flexible.

 Sencilla de elaborar y consultar.
 Que permita realizar un diagnóstico objetivo de la totalidad de los
factores de riesgo.
 Ser capaz de comparar proyectos, áreas y actividades.

Pasos:

1.1 Identificación de riesgos

Identificación de las actividades principales de una organización y de los

riesgos inherentes a estas. De una manera general, se puede entender como
riesgos la posibilidad de que a una empresa le sea imposible cumplir con
alguno de sus objetivos, estableciendo actividades, que sean posible de prever
posibles riesgos, motivos o factores que intervienen en su distinguiéndose en
riesgos intrínsecos, que serían aquellos que provienen directamente de la
propia empresa, y extrínsecos, factores de incertidumbre provocados por
eventos externos o macro económicos que pueden tener un impacto sobre la
actividad de nuestra empresa.
 1.2 Evaluar la probabilidad

Buscaremos identificar la probabilidad de que efectivamente, el riesgo

ocurra, también el cálculo de los efectos potenciales del mismo. Se trata, por
lo tanto, de una valorización del riesgo, lo cual implica un análisis conjunto e
interrelacionado de la probabilidad de ocurrencia y del efecto en los
resultados globales de la empresa.

Los riesgos se pueden valorar en términos cualitativos o cuantitativos,

utilizando normalmente valores numéricos o estadísticos, lo que ayuda a
tener una base sólida para que la dirección o responsables de la empresa o
negocio puedan tomar las decisiones pertinentes.

1.3 Representación de la matriz de riesgos

La matriz de riesgos radica en que ofrezca la posibilidad de tener una idea

general de los riesgos de una empresa y la posibilidad de que ocurran con
tan solo echarle un vistazo. La matriz de riesgo constituye una herramienta
de control y de gestión muy interesante para identificar actividades
empresariales, asociándolas a riesgos diferenciados por tipo y nivel y a los
factores exógenos y endógenos relacionados con estos riesgos. Todo ello
permite la organización de un Sistema Integral de Gestión de Riesgo.

1.5 Fundamentos de la matriz

La Matriz la basé en el método de Análisis

de Riesgo con un grafo de riesgo, usando la
formula Riesgo = Probabilidad de Amenaza
x Magnitud de Daño.

La Probabilidad de Amenaza y Magnitud de

Daño pueden tomar los valores y
condiciones respectivamente.

1 = Insignificante (incluido Ninguna)

2 = Baja
3 = Mediana
4 = Alta

El Riesgo, que es el producto de la multiplicación Probabilidad de Amenaza

por Magnitud de Daño, está agrupado en tres rangos, y para su mejor
visualización, se aplica diferentes colores.
Bajo Riesgo = 1 – 6 (verde)
Medio Riesgo = 8 – 9 (amarillo)
Alto Riesgo = 12 – 16 (rojo)

1.6 Implementación de la matriz

 La Matriz verdadera está basada en un archivo con varias hojas de

cálculo que superan el tamaño de una simple pantalla de un monitor.
Entonces por razones demostrativas, en las siguientes imágenes solo
se muestra una fracción de ella.

 La Matriz contiene una colección de diferentes Amenazas y Elementos

de información.

 Para llenar la Matriz, tenemos que estimar los valores de la

Probabilidad de Amenaza por cada Amenaza y la Magnitud de Daño
por cada Elemento de Información.

1.7 Elementos De La Matriz

La Matriz está basada en una hoja de cálculo. Existe la versión en

OpenOffice y Microsoft PowerPoint y se recomienda usar el formato que
corresponde con el sistema operativo donde se la usa, debido a algunos
problemas de compatibilidad entre ambos formatos.

La Matriz está compuesta por 6 hojas:

Datos: Es la hoja para valorar el riesgo para los Elementos de Información

“Datos e Informaciones”, llenando los campos “Magnitud de Daño” y
“Probabilidad de Amenaza” conforme a sus valores estimados (solo están
permitidos valores entre 1 y 4). Los valores de Probabilidad de Amenaza solo
se aplican en está hoja, porque las demás hojas, hacen referencia a estos.
Los tres campos de “Clasificación” (Confidencial…, Obligación por ley…, Costo
de recuperación…) no tienen ningún efecto sobre el resultado de riesgo y no
necesariamente tiene que ser llenados.

Sin embargo pueden ser usados como campos de apoyo, para justificar o
subrayar el valor de Magnitud de Daño estimado. En caso de usarlo, hay que
marcar los campos respectivos con una “x” (cualquier combinación de los
campos está permitido, todos marcados, todos vacíos etc.).
Sistemas: Es la hoja para valorar el riesgo para los Elementos de
Información “Sistemas e Infraestructura”. Hay que llenar solo los valores de
Magnitud de Daño, debido a que los valores de Probabilidad de Amenaza
están copiados automáticamente desde la hoja “1_Datos”. Igual como en
“1_Datos”, los tres campos de “Clasificación” (Acceso exclusivo, Acceso
ilimitado, Costo de recuperación…) otra vez no tienen ningún efecto sobre el
resultado de riesgo y solo sirven como campo de apoyo.

Personal: Es la hoja para valorar el riesgo para los Elementos de

Información “Personal”. Igual como en “2_Sistemas”, solo hay que llenar los
valores de Magnitud de Daño. Otra vez, los tres campos de “Clasificación”
(Imagen pública…, Perfil medio…, Perfil bajo…) solo sirven como campo de
apoyo.

Análisis Promedio: Esta hoja muestra el promedio aritmético de los

diferentes riesgos, en relación con los diferentes grupos de amenazas y
daños. La idea de esta hoja es ilustrar, en que grupo (combinación de
Probabilidad de Amenaza y Magnitud de Daño) hay mayor o menor peligro.
No hay nada que llenar en esta hoja.

Análisis Factores: Esta hoja tiene el mismo propósito como la hoja

“Análisis Promedio”, con la diferencia que esta vez el promedio aritmético de
los grupos está mostrado en un grafo, dependiendo de la Probabilidad de
Amenaza y Magnitud de Daño. La línea amarilla muestra el traspaso de la
zona Bajo Riesgo a Mediano Riesgo y la linea roja, el traspaso de Mediano
riesgo a Alto Riesgo. La idea de esta hoja es ilustrar el nivel de peligro por
grupo y la influencia de cada factor (Probabilidad de amenaza, Magnitud de
Daño).

Fuente: Esta hoja se usa solo para la definición de algunos valores

generales de la matriz.

2. Argumentos

El propósito de la matriz de riesgo es analizar el funcionamiento, la

efectividad y el cumplimiento de las medidas de protección, para determinar
y ajustar sus deficiencias. Las actividades del proceso tienen que estar
integradas en el plan operativo institucional, donde se define los momentos
de las intervenciones y los responsables de ejecución.

Medir el cumplimiento y la efectividad de las medidas de protección requiere

que levantemos constantemente registros sobre la ejecución de las
actividades, los eventos de ataques y sus respectivos resultados. Estos
tenemos que analizados frecuentemente. Dependiendo de la gravedad, el
incumplimiento y el sobrepasar de las normas y reglas, requieren sanciones
institucionales para los funcionarios.

En el proceso continuo de la Gestión de riesgo, las conclusiones que salen

como resultado del control de riesgo, nos sirven como fuente de
información, cuando se entra otra vez en el proceso de la Análisis de riesgo.

Para la estimación de la Probabilidad de amenazas, trabajamos con un valor

generalizado, que está relacionado con el recurso más vulnerable de los
elementos de información, sin embargo usado para todos los factores.

Si por ejemplo existe una gran probabilidad de que nos pueden robar
documentos y equipos en la oficina, porque ya entraron varias veces y no
contamos todavía con una buena vigilancia nocturna de la oficina, no se
distingue en este momento entre la probabilidad si robarán una portátil, que
está en la oficina (con gran probabilidad se van a llevarla), o si robarán un
documento que está encerrado en una caja fuerte escondido (es menos
probable que se van a llevar este documento).

Este proceder obviamente introduce algunos resultados falsos respecto al

grado de riesgo (algunos riesgos saldrán demasiado altos), algo que
posteriormente tendremos que corregirlo. Sin embargo, excluir algunos
resultados falsos todavía es mucho más rápido y barato, que hacer un
análisis de riesgo detallado, sobre todo cuando el enfoque solo es combatir
los riesgos más graves.
Con estas gráficas entendimos dos circunstancias, por un lado, son estas
amenazas y peligros que están relacionados con la vulnerabilidad de la
información y este se puede llevar a cabo desde un proceso político, datos
como la negligencia pueden ser un segundo factor en temas de
infraestructuras tecnológicas por parte del personal.

Las medidas de protección están divididas en medidas físicas y técnicas,

personales y organizativas. Consideramos la implementación de medidas de
protección están en directa relación con inversiones de recursos económicos
y procesos operativos, es más que obvio, que las medidas, para evitar un
daño, resultarán (mucho) más costosas y complejas, que las que solo
mitigan un daño. Creemos que las medias serán exitosas, es esencial que
siempre verificamos su factibilidad, es decir que técnicamente funcionan y
cumplen su propósito, que están incorporadas en los procesos operativos
institucionales y que las personas se apropian de estás.