Está en la página 1de 23

PLAN DE GESTIÓN O TRATAMIENTO DEL RIESGO DE LA ALCALDÍA DE SAN

ANTONIO

CRISTIAN LEONARDO BERRIO GONZALEZ

SUZETTE ANN BOWIE BRITTON

YAMIR ASMIRIO MUÑOZ CACERES

FICHA: 1966126

SERVICIO NACIONAL DE APRENDIZAJE-SENA

ESPECIALIZACIÓN TECNOLÓGICA EN GESTIÓN Y SEGURIDAD DE BASES DE DATOS

ABRIL DE 2020
1. INTRODUCCIÓN

La gestión de riesgos es el proceso de identificar, analizar y responder a factores de riesgo a


lo largo de la vida de un proyecto y en beneficio de sus objetivos y usado de forma
adecuada implica el control de posibles eventos futuros; además, es proactiva, en lugar de
reactiva.

Para realizar un plan de gestión de riesgos en proyectos es necesario planificar la gestión de


riesgos, es decir, identificarlos realizando un análisis cualitativo y cuantitativo, planificar una
respuesta y establecer un seguimiento.

Este documento presenta el plan de gestión del riesgo a implementar en la ALCALDÍA DE


SAN ANTONIO - SENA, usando la identificación de las posibles acciones para contrarrestar
los riesgos y su impacto sobre los niveles de servicio que se definieron sobre las bases de
datos de la alcaldía y procesos asociados; y siguiendo la plantilla para definición del plan de
gestión o tratamiento del riesgo.
2. OBJETIVOS

2. 1 OBJETIVO GENERAL

Con el desarrollo de este plan de gestión del riesgo aplicable a nuestro caso de estudio
Alcaldía de San Antonio” se pretende identificar los riesgos que tienen probabilidad de
impactar positiva o negativamente en el proyecto, así como planificar las respuestas a los
riesgos identificados con mayor probabilidad de ocurrencia, durante el ciclo de vida del
Proyecto. Incluyendo los procesos relacionados con la planificación de los riesgos, su
identificación y análisis, el planteamiento de respuestas a dichos riesgos y el seguimiento y
control de la gestión de los riesgos del proyecto en la búsqueda de incrementar la
probabilidad de ocurrencia de aquellos positivos y disminuir o eliminar la ocurrencia de
aquellos negativos.

2.2 OBJETIVOS ESPECÍFICOS

 Clasificar y documentar todos y cada uno de los activos informáticos que posee la
alcaldía de San Antonio en su infraestructura de hardware y de software
 Establecer los roles y responsabilidades en la gestión del riesgo
 Identificar los recueros y presupuestos necesarios para la ejecución del plan Documentar
la periodicidad de los eventos a ejecutar
 Clasificar los riesgos de acuerdo con una escala definida
 Presentar el inventario de activos informáticos junto a las amenazas a las que son
expuestos
 Documentar y consolidar en este documento un plan de recuperación antes desastre
realizado para la alcaldía de San Antonio en otras evidencias de aprendizaje
3. PLAN DE GESTIÓN O TRATAMIENTO DEL RIESGO

3.1 ALCANCE DEL PLAN DE GESTIÓN DEL RIESGO (PGR)

En esta sección se define el alcance y propósito del plan de gestión del riesgo además de
proporcionar una visión general del contexto de la organización.

ALCANCE

Como parte del proceso para mejorar la infraestructura tecnológica en la alcaldía de San
Antonio del SENA, se hace necesario realizar un Plan de Gestión de Riesgos (PGR); teniendo
en cuenta todos los elementos de riesgos a los cuales está expuesta la infraestructura
tecnológica y la información guardada:

 Personal
 Hardware
 Software
 Elementos de Red
 Datos e información
 Documentación
 Suministro de energía
 Suministro de telecomunicaciones

El alcance de las medidas de protección depende del nivel de riesgo

 Alto riesgo: Medidas deben evitar el impacto y daño.


 Medio riesgo: Medidas solo mitigan la magnitud de daño, pero no evitan el impacto.

PROPÓSITO

Identificar los posibles riesgos a los que están expuestos los niveles de servicio que se
definieron sobre las bases de datos de la alcaldía y establecer un plan de acción a seguir en
caso de que se presenten, adicionalmente es importante socializar dichos riesgos y planes
de acción con los directivos involucrados; para lograr el equilibrio económico entre el
impacto del riesgo en la entidad y el costo de las medidas de protección
CONTEXTO DE LA ORGANIZACIÓN

A continuación, se resume la información de los recursos de tecnología y humanos con los que cuenta la ALCALDÍA DE SAN
ANTONIO DEL SENA, al momento de realizar el plan de gestión del riesgo (PGR):

Dependencia Recursos de Tecnología Recursos Humanos

Secretaría Escasos recursos en memoria y


General procesador
Microsoft ® Windows XP Service Pack
1
10 Microsoft® Office 2003 ®
computadoras Adobe® Reader ® Apoya los procesos para asistir
Antivirus Avast! ® 4.8, al alcalde de San Antonio del
Conectividad a internet limitada SENA en la planeación,
Acceso a recursos compartidos a organización, control ejecución
través de una intranet IP versión 4.0. 12 personas de los programas de su
administración. Vela por el
02 impresoras Matriz de punto cumplimiento de las normas
legales que regulan el
300 documentos en promedio para funcionamiento de la alcaldía
revisiones diarias y 100 procesos
documentales emitidos por esta
Sistema de secretaría a través de carpetas
información compartidas que permiten el acceso a
cualquier usuario sin la
administración de contraseñas y un
dominio en la red

Windows Vista Small Business Evaluar todos los programas y


Secretaría de Edition® campañas de la administración
Gobierno Microsoft Office 2007® municipal tendientes a
10 Adobe® Reader ® garantizar los derechos civiles,
computadoras Antivirus Avast! ® 4.8, 30 personas sociales, vida, honra y bienes
Conectividad a internet limitada de los habitantes del Municipio
Acceso a recursos compartidos a Coordinar la política a seguir
través de una intranet IP versión 4.0. referente al control de precios,
pesos y medidas; rifas, juegos
y espectáculos;
Windows® XP Service Pack 1 establecimientos públicos, aseo
Microsoft Office 2007® y ornato; ventas ambulantes y
Adobe® Reader ® estacionarias, velando por el
12 Antivirus Avast! ® 4.8, cumplimiento de las
computadoras Conectividad a internet limitada disposiciones legales vigentes
Acceso a recursos compartidos a y aplicando las respectivas
través de una intranet IP versión 4.0. sanciones cuando se violen
dichas normas.
Windows Server 2003® l Además, deberá vigilar y
01 Servidor de Microsoft SqlServer 2005 Enterprise atender la reclusión de
Red Edition®. personas que se hallen a cargo
(Constantemente los funcionarios de de las autoridades de Policía
esta secretaria acceden a bases de Municipal; recibir y dar trámite
datos de consulta de los comerciantes a las querellas ordinarias o
de “San Antonio del SENA” que sumarias de statu quo;
tienen sus actividades de negocio instruir, tramitar y fallar las
debidamente registradas y querellas por contravenciones
formalizadas e infracciones a los códigos de
en cámara y comercio) tránsito; ejecutar el control
sobre avisos, vallas, pasacalles
Alrededor de 4000 registros diarios y carteles y sancionar a
son consultados y descargados a quienes violen las
archivos de Microsoft Excel® que disposiciones.
Sistema de posteriormente son validados y
información consolidados en reportes de
seguimiento semanal.

Windows Vista Small Business Recauda, registra y procesa la


Secretaría de Edition® información económica de la
Hacienda Microsoft Office 2007® administración municipal. Fija
Adobe® Reader ® las políticas para el cobro de
20 Antivirus Avast! ® 4.8, aportes, participaciones y
computadoras Conectividad a internet limitada en 20 personas servicios de la nación,
horas pico departamento, instituciones
Acceso a recursos compartidos a oficiales y semioficiales. Expide
través de una intranet IP versión 4.0. certificados de Paz y Salvo por
pago de impuesto
Base de datos de consulta en
Oracle® 9i®

Microsoft® Windows
Secretaría de 14 XP Service Pack 1 con 1GB de RAM
Planeación y computadoras integradas en una red LAN
Obras
Públicas Microsoft® Windows Seven®
1GB de RAM
06 integradas en una red LAN Trabaja con proyectos para el
computadoras desarrollo social, direcciona los
Microsoft® Windows Server 2003® proyectos en materia de obras
con 10 licencias para acceso 20 personas públicas, estratificación y
Sistema de Información Geográfico actualización catastral. Trabaja
01 servidor (SIG) con acceso a la información via en planes de prevención y
Internet atención de desastres

En promedio se atienden 100


Sistema de solicitudes diarias de certificaciones y
información 400 consultas vía internet
Secretaría de 10 Windows® XP
Educación computadoras 512 MB de RAM

03 Touchscreen
computadoras Representa y trabaja por la
calidad y cobertura educativa.
Red Hat Enterprise Linux 10 personas Orienta la elaboración y
PostgresSQL ejecución de proyectos
Sistema de Información para los educativos
01 servidor procesos de: matrículas escolares,
VNC® traslados escolares y gestión de
(Virtual alianzas con la educación superior
Network Sistema de Información Documental
Connection)
Secretaría de 15 equipos de Microsoft® office 2003®
Salud cómputo entre Adobe® Reader®
computadores Antivirus Avast! ® 4.8
de escritorio y Acceso a internet mediante un canal
equipos 512 K
portátiles Conectividad a internet limitada

01 impresora Laser Vigila la salud pública, gestiona


la prestación de servicios de
salud y promoción de planes,
La actualización de este sistema se 15 personas programas, estrategias y
realiza con registros provenientes de proyectos en salud para el
Sistema de documentos y planillas en Microsoft® desarrollo del sector y del
información Excel® que llegan desde los sistema general de seguridad
diferentes establecimientos de salud social
que se encuentran tanto en el área
urbana como rural; el número de
registros diarios es en promedio 100.

Secretaría de Windows® XP Ejecuta programas destinados


Deportes, 512 de memoria RAM al aprovechamiento del tiempo
Recreación y Microsoft® Office XP libre por medio de prácticas
Cultura 08 Adobe® Reader® deportivas, actividades
computadoras Antivirus Avast! ® 4.8 recreativas y eventos
Integradas en una red local culturales en espacios
Conectividad a internet limitada 10 personas adecuados. Es importante la
promoción, elaboración y
Laser ejecución de programas
01 impresora orientados a conservar los
valores de la cultura local, así
como la formación y el apoyo
integral a los deportistas
Secretaría de Windows® XP Service Pack 1 Gestiona las políticas para la
Gestión 07 Microsoft® Office 2003® conservación del medio
Ambiental y computadoras Interconectados en una red LAN ambiente y la protección de los
Minera Acceso a internet limitado recursos naturales. Ejerce
7 personas control y vigilancia sobre el
Proyección: Implementación de un cumplimiento de las normas.
Sistema de Información para la Acompaña y asesora a la
Gestión Ambiental. pequeña y mediana minería,
Actualmente: se reciben alrededor de en los procesos de
50 solicitudes diarias de expedición tecnificación. Expide permisos
de certificaciones y estas se realizan de movilización forestal.
manualmente.

Oficina 12 Windows® XP®, Vela por el control de la


Asesora de computadoras 512 M en memoria RAM calidad, propende por
Control determinar estrategias y
Interno realizar procedimientos para la
01 impresora Laser verificación y evaluación.
Genera informes que permiten
Windows Server 2003 con un 12 personas identificar y controlar las
Directorio Activo con aplicaciones debilidades, vulnerabilidades,
01 servidor para dar soporte a los estándares de riesgos, amenazas y fallas en
ISO 9000 e ISO 27000 los procesos misionales
Carpeta compartida con documentos
normalizados y estandarizados para
los diferentes procesos de la alcaldía
3.2 ROLES Y RESPONSABILIDADES

3.3 PRESUPUESTO

3.4 PERIODICIDAD

3.5 CATEGORÍAS DEL RIESGO

En esta sección se muestra la estructura o escala detallada que se utilizara para realizar la
clasificación del riesgo.

El objetivo de la clasificación de riesgo es determinar hasta qué grado es factible combatir


los riesgos encontrados. La factibilidad normalmente depende de la voluntad y posibilidad
económica de una institución, sino también del entorno donde nos ubicamos. Los riesgos
que no queremos o podemos combatir se llaman riesgos restantes y no hay otra solución
que aceptarlos.

Se usa la Matriz, que es la base en el método de Análisis de Riesgo con un grafo de


riesgo, usando la formula Riesgo = Probabilidad de Amenaza x Magnitud de Daño.

La Probabilidad de Amenaza y Magnitud de Daño pueden tomar los valores y condiciones


respectivamente:

 1 = Ninguna
 2 = Baja
 3 = Media
 4 = Alta

El Riesgo, que es el producto de la multiplicación Probabilidad de


Amenaza por Magnitud de Daño, lo cual crea las siguientes
categorías (o clasificación) del riesgo:

 Bajo Riesgo = 1 – 6 (verde)


 Medio Riesgo = 8 – 9 (amarillo)
 Alto Riesgo = 12 – 16 (rojo)

Estos riesgos se pueden dar en:

 La Información propiamente tal, en sus múltiples formatos (papel o digital, texto,


imagen, audio, video, etc.).
 Los Equipos/Sistemas que la soportan.
 Las Personas que la utilizan.
El propósito de la identificación del riesgo es determinar que podría suceder que cause
una perdida potencial, y llegar a comprender el cómo, donde, y por qué podría ocurrir
está perdida, las siguientes etapas deberían recolectar datos de entrada para esta
actividad.

3.6 INVENTARIO DE ACTIVOS EXPUESTOS

En esta sección se expone la relación de los activos especificando las amenazas a las que
se encuentran expuestos.

Se han podido identificar para el caso de estudio “Alcaldía de San Antonio” el siguiente
inventario de activos asociados a las amenazas a los que son expuestos:
INVENTARIO SOBRE LOS ACTIVOS EXPUESTOS

ACTIVO AMENAZA

Bases de datos internas Son las bases de datos las cuales hacen parte de cada una de las secretarias de la alcaldía de San Antonio. Las
amenazas a las cuales se encuentran expuestos son:
 Inyección de código maliciosos SQL
 Ingreso y acceso de intrusos y usuarios no autorizados por el sistema ni por la base de datos
 Presencia de virus informático y gusanos
 Software oculto para realizar labores de espionaje, sabotaje, robo cibernético y vandalismo

Página web interna Esta es la llamada herramienta intranet la cual facilita la comunicación interna entre los funcionarios y empleados
(Intranet) de la alcaldía de San Antonio y facilita el proceso de comunicación entre secretarias; se ve expuesta a las
siguientes amenazas:
 Virus informático
 Presencia y suplantación de usuarios
 Acceso de personas no autorizas por el sistema, la red LAN o externos a la alcaldía
 Sabotaje, robo de información Labores de espionaje
Sitio web externo de la A las amenazas a la cuales se ve enfrentado son:
alcaldía de San Antonio  Inyección de código SQL maliciosos para modificar, eliminar y robar información de bases de datos las cuales
corran bajo el sitio web de la alcaldía
 Suplantación de usuarios y secretarios, así como del alcalde mayor de la alcaldía de San Antonio para el acceso
a datos importantes y el poder conseguir reportes, boletines, certificaciones de pago de impuestos
correspondientes a la secretaria de Hacienda
 Virus informático
Chat interno Está expuesto a las siguientes amenazas:
 Suplantación de la identidad, acceso de usuarios internos de la alcaldía de San Antonio
 Virus informático
 Robo de datos e información importante Modificación de datos y sabotaje
 Usuarios no autorizados por el sistema los cuales puedan eliminar datos, registros y reportes en las diferentes
bases de datos de cada una de las secretarias
Equipos de red cableados Estos hacen referencias a routers, tarjetas de red, switches y cableado que están expuestos a amenazas como:
e inalámbricos  Virus informáticos potentes como son las bombas lógicas y los troyanos que pueden inutilizar una red LAN y una
infraestructura tecnológica por completo
 Acceso de intrusos y usuarios no autorizados por los sistemas ni por las bases de datos de las secretarias de la
alcaldía
 Robo de datos, información, reportes, boletines, certificaciones electrónicas de pago de impuestos, así como el
robo de bases de datos completas
 Instalación de software espía por parte de usuarios mal intencionados
 Hacking de correos electrónicos, cuentas de usuarios, contraseñas, bases de datos y acceso a los sistemas de
información.
 Desactivación y desconfiguración intencional de estas por parte de usuarios mal intencionados
Servidores/Computadores Las amenazas a las que se pueden enfrentar son:
de mesa y portátiles  Acceso y manipulación de estos equipos bien sea local, remotamente o físicamente por usuarios no autorizados
y mal intencionados quienes puedan acceder a la red LAN
 Presencia de virus informáticos
 Reinicios inesperados de los equipos
 Daños en hardware como en discos duros, ventiladores
 Interrupción del suministro de energía eléctrica Reinicios inesperados de los equipos servidores
Impresoras Las amenazas a las que se pueden enfrentar son:
 Daños con los cartuchos y malas calibraciones para la impresión
 Daños en hardware
 Desconfiguraciones en el software y los controladores que manejan la impresora y hacen el puente de conexión
con el hardware de estos dispositivos

Memorias portátiles y Las amenazas a las que se pueden enfrentar son:


dispositivos de  Presencia de virus informático
almacenamiento externos  Software maliciosos y espía
CONTROLES PARA MINIMIZAR LOS RIESGOS

DATOS

ACTIVO CONTROLES PARA MINIMIZAR EL RIESGO IMPACTO DE DAÑO

Bases de datos internas Esto hace referencia a las diferentes bases de datos que hacen parte de todas y de cada Bajo
una de las secretarias de la alcaldía del municipio de San Antonio; dichas bases de
datos son relacionales y fueron desarrolladas por el motor de base de datos MYSQL
SQL SERVER R2 2008
Planes para efectuar copias de seguridad:
 Políticas y sistemas para implementar seguridad y protección de los datos, Los
esquemas y estructuras de estas bases de datos
 Documentar perfiles de usuarios, contraseñas, accesos y privilegios en cada una de las
bases de datos
 Monitorear y hacer un seguimiento periódico de los servicios, estado en tiempo real,
conexiones, concurrencia, tráfico de red, consumo en espacio de disco entre otros
aspectos para verificar la operatividad y continuidad en el funcionamiento de estas
bases de datos.
 Implementar encriptación y cifrado de datos

Bases de datos externas Políticas y sistemas para implementar seguridad y protección de los datos, los esquemas y Medio
estructuras de estas bases de datos

Página web interna Este es un servicio de comunicación interna dentro de la alcaldía el cual es habilitado para Medio
(Intranet)
cada uno de los funcionarios y empleados de las diferentes secretarias que facilitaran el
proceso de trabajo interno y el intercambio de información; es necesario implementar
controles para disminuir los daños o riesgos informáticos como son:
 Instalación y puesta en marcha de herramientas para la supervisión y actividades
realizadas dentro de la red LAN y en la internar habilitada para esta alcaldía.
 Configuración de la red LAN y de todos sus dispositivos dando protocolos de seguridad
los cuales impidan el ingreso de usuarios o personas externas que no laboren dentro de
la alcaldía de San Antonio del SENA

Sitio web o página Esta es la página web o sitio el cual muestra al mundo la imagen de la alcaldía de San Bajo
externa Antonio; dando a los usuarios y comunidad en general servicios de consultas, pagos de
impuestos, comparendos, eventos deportivos, descarga de certificaciones de salud, dando
a conocer noticias actualizadas y poniendo a disposición foros, chats, debates interactivos,
encuestas de opinión entre otros aspectos; para disminuir los riesgos informáticos de daños
y amenaza se deben implementar las siguientes recomendaciones:
 Administrar, gestionar y supervisar el funcionamiento y operatividad del sitio web a
través de herramientas suministradas por el proveedor de internet y el hosting
contratado por la alcaida como puede ser el C PANEL el cual verifique criterios como:
 Actividad de las bases de datos
 Espacio en disco
 Trafico de red
 Usuarios, conectados
 Servicios centrados con el proveedor
 Concurrencia
 Bases de datos creadas
 Cuentas de correos electrónicos institucionales
 Creación de dominios
 Creación y disponibilidad de repositorios digitales
 Disponibilidad de complementos.
• Complementos de seguridad

Chat interno Este es un medio de comunicación interna entre secretarias y funcionarios el cual deberá Medio
ser usado con estándares de buena convivencia, respeto por los demás así como principios
de confidencialidad en el intercambio de información, bases de datos, documentos,
carpetas y sistemas informáticos internos de esta alcaldía; para disminuir los riesgos y
amenazas informáticas de este tipo de activo se debe implementar:
 Implementar políticas y sistemas de seguridad en la protección de los datos, usuarios
quienes hacen uso de esta herramienta.
 Labores periódicas de mantenimientos y monitoreo al comportamiento de este
servicio por parte del departamento de sistemas e ingenieros de esta alcaldía
 Documentar información de todos y cada uno de los usuarios, contraseñas
y actividades realizadas en este chat interno; para así establecer los perfiles de
usuarios.

Chat externo  Documentar información de todos y cada uno de los usuarios, contraseñas y Alto
actividades realizadas en este chat interno; para así establecer los perfiles de usuarios.
 Labores periódicas de mantenimientos y monitoreo al comportamiento de este servicio
por parte del departamento de sistemas de la alcaldía

Bases de datos de Estas bases de datos representan fuentes de consultas, cruces de datos externos que se Medio
contraseñas hacen necesarios para cumplir los objetivos misionales de la alcaldía de San Antonio del
SENA; lo cual representa riesgos informáticos los cuales se pueden disminuir siguiendo o
poniendo en práctica recomendaciones tales como:
 Implementar políticas de seguridad, sistemas de protección de los datos como
encriptación y cifrados
 Implementar políticas y planes para las copias de respaldo de estas bases de datos y
bitácora de actividades de usuarios.
 Elaborar un log o bitácora de actividades registradas por los usuarios quienes acceden
internamente en las diferentes secretarias de esta alcaldía a las bases de datos;
registrando datos como:
o Fecha
o Hora
o Usuario
o Clave
o Base de datos accedida
o Fecha y hora de cierre de sesión y conexión con la base de datos.
o Actividades realizadas

Correo electrónico Este servicio será habilitado y se podrán crear cuentas de correo electrónico únicamente Medio
usando herramientas de administración del sitio web de la alcaldía de San Antonio
proporcionadas por la empresa HOSTING; estos correos electrónicos serán institucionales y
no personales en donde todos y cada uno de los empleados y funcionarios que laboran
dentro de esta alcaldía tendrán habilitada una cuenta; para disminuir los riesgos
informáticos se deberá implementar lo siguiente:
 El administrador del sitio web deberá pedir información del nuevo funcionario o persona
interna de la alcaldía que solicite una nueva cuenta como es
o Nombres completos Apellidos
o Secretaria donde labora
o Justificación del por qué necesita una nueva cuenta
o Fecha de la solicitud
 Es el administrador del sitio web el encargado de analizar y validar esta información y
crear la respectiva cuenta
 Se deberá documentar a todos los usuarios, nombres de los correos electrónico y los
usuarios que les dan para así hacer un seguimiento y monitoreo para garantizar la
operatividad y continuidad de este servicio.

EQUIPOS

ACTIVO CONTROLES PARA MINIMIZAR EL RIESGO IMPACTO DE DAÑO


Equipos de red cableada Es la infraestructura de la red LAN de la alcaldía de San Antonio la cual pude ser: Medio
e inalámbrica enrutadores, tarjetas de red y switches. Para minimizar los riesgos y amenazas
informáticas se deberá implementar lo siguiente:
 Instalar y poner en marcha herramientas tecnológicas para el monitoreo y seguimiento
periódico y en tiempo real del comportamiento de la red LAN y de los servicios
suministrados. Documentación de análisis, diseño e implementación de la red LAN de
esta alcaldía escribiendo aspectos de cableado, tecnología usada, arquitectura,
topología entre otros aspectos
 Realizar configuraciones a los dispositivos de red lo cual permita adoptar protocoles de
conectividad y seguridad en la protección de los datos y de la red LAN misma
 Realizar labores de mantenimientos preventivos y correctivos los cuales permitan
garantizar la operatividad de la red LAN

Cortafuegos Se deberán habilitar en todas y cada una de las estaciones de trabajo, nodos de la red Bajo
LAN así como en los equipos servidores los cuales harán parte de la infraestructura
tecnológica de la alcaldía de San Antonio
Servidores Estos son equipos de cómputo de gran potencia, importancia y sensibilidad para el Medio
funcionamiento del negocio ya que cumplen labores de respaldo de datos, alojamiento de
bases de datos, procesos de replicación, gestión y manejo del tráfico de red LAN,
alojamiento de la bodega de datos de la alcaldía de San Antonio así como el poder
atender solicitudes de consultas de múltiples usuarios de diferentes localidades o
secretarias. Para poder disminuir al máximo riesgos, amenazas y vulnerabilidades
informáticas se deberá implantar lo siguiente:
 Garantizar el suministro interrumpido 7X24 de energía eléctrica a estos equipos de
computo
 Implementar planes de mantenimientos preventivos y correctivos a estos equipos por
parte de personal técnico del departamento de sistemas de la alcaldía de San Antonio
documentado el paso a paso y los resultados obtenidos en este proceso.
 Instalar y poner en marcha herramientas para el monitoreo, supervisión y seguimiento
periódico del rendimiento y comportamiento real del sistema operativo de estos
equipos que para el caso de la alcaldía de San Antonio será WINDOWS SERVER 2012.
 Implementar políticas y planes de contingencias para respaldos y copia de datos
importantes de estos equipos en forma externa y remotamente usando dispositivos de
almacenamiento externos y servicios de alojamiento en los nueve privados
 Elaborar un inventariado completo dela condición de funcionamiento en software y en
hardware de estos equipos de cómputo para evaluar planes de escalonamiento y
mejoramiento en hardware y software adecuando nuevos, mejores discos duros,
mejores herramientas de software, así como la aplicación e incremento de memoria
RAM.
Computadores Se deberá tener en cuenta lo siguiente: Medio
 Implementar labores de mantenimientos periódicos preventivos y correctivos por parte
el personal de soporte técnico de la dependencia de sistemas de la alcaldía de San
Antonio lo cual genere una documentación la cual se tenga en cuenta para el
mejoramiento constante en infraestructura y repotenciar los equipos de cómputo
existentes dentro de esta alcaldía.
 Programar copias de seguridad y respaldo de datos periódicos local o remotamente
Programas de En esta alcaldía se adquieren con regularidad programas para el diseño, Bajo
manejo de proyectos ejecución y programación de tareas de diferentes proyectos los cuales deberán ser
ejecutados por todas y cada una de las Secretarias de este despacho municipal para
disminuir riesgos informáticos, vulnerabilidades y sanciones se deberá implementar lo
siguiente:
 Responsabilidades del proveedor del servicio o programa informático.
 Adquisición de contratos de licenciamiento para el uso y explotación de este tipo de
software si son de uso comercial
 Adquisición y contrato de licencia para el uso y explotación de este tipo de
programa informáticos a si sea de uso libre o gratuito; este tipo de contrato así
como los de uso comercial deberá tener asociados datos como.
o Fecha
o Nombre del producto o herramienta tecnológica Condiciones de uso
o Entidad, sitio web o empresa que facilita esta
o herramienta
Responsabilidades del usuario final
Programas de  Adquisición de contratos de licenciamiento para el uso y explotación de este tipo de Bajo
producción de datos software si son de uso comercial
 Adquisición y contrato de licencia para el uso y explotación de este tipo de programa
informáticos a si sea de uso libre o gratuito; este tipo de contrato así como los de uso
comercial deberá tener asociados datos como.
o Fecha
o Nombre del producto o herramienta tecnológica Condiciones de uso
o Entidad, sitio web o empresa que facilita esta herramienta
o Responsabilidades del usuario final Responsabilidades del proveedor del servicio
o programa informático.
Impresoras Se deberán realizar labores periódicas de mantenimientos preventivos y correctivos a las Bajo
impresoras con las cuales cuenta la alcaldía de San Antonio; generada documentación
técnica la cual será tenida en cuenta el momento de adquirir nuevas y más modernas
impresoras y mejorar las ya existentes.
Memorias portátiles Se deberá realizar un análisis o escaneo en detalle ejecutando programas de antivirus y Bajo
de seguridad informática con los que cuenta la alcaldía de San Antonio para evitar:
 Software espía Presencia de virus informático Sabotaje
 Software malicioso
 Presencia de gusanos informáticos
3.7 MATRIZ DE PROBABILIDAD E IMPACTO

En esta sección se muestra el resultado del análisis de la hoja de cálculo en la que se


realiza una aproximación generalizada de los riesgos asociados con el manejo de la
información en la entidad.

Tomando como referencia la situación actual de los activos de información de la Alcaldía


de San Antonio del SENA, se identificaron los riesgos asociados a estos activos y se
procedió a cuantificar los riesgos de cada uno.

Como resultado de esta actividad se obtuvo el siguiente cuadro con el promedio aritmético
de los diferentes riesgos:

Se observa que los mayores riesgos se presentan en el grupo de activos asociados a la


Infraestructura de TI y al grupo de amenazas relacionadas con la Negligencia de usuarios
y decisiones Institucionales. Las amenazas que mayor impacto presentan son las
siguientes:

Las amenazas que mayor impacto presentan son las siguientes:

- Falta de inducción, capacitación y sensibilización sobre riesgos

- Unidades portables con información sin cifrado

- Transmisión no cifrada de datos críticos

- Manejo inadecuado de contraseñas (inseguras, no cambiar, compartidas, BD


centralizada)

- Falta de definición de perfil, privilegios y restricciones del personal

- Falta de normas y reglas claras (no institucionalizar el estudio de los riesgos)


- Falta de mecanismos de verificación de normas y reglas / Análisis inadecuado de
datos de control.

Estos resultados se deben a que en la Alcaldía de San Antonio del SENA se presentan
falencias importantes en la implementación de políticas de seguridad de la información y
en los procesos de inducción, capacitación y sensibilización sobre riesgos.
4. CONCLUSIONES

La información que hace parte de una Entidad Pública es crucial para su correcto
desempeño dentro de la política pública y su relación con el ciudadano, sin importar qué
tipo de información se trate en la Entidad, ésta será parte primordial en el cumplimiento
de sus Objetivos, es por ello que resguardar todo tipo de Información de cualquier
posibilidad de alteración, mal uso, pérdida, entre otros muchos eventos, puede significar
un respaldo para el normal desarrollo de las actividades de una Entidad o de un Estado.

Luego de elegir cuáles controles son los más adecuados para tener un nivel de riesgo
aceptable para el o los procesos incluidos en el alcance, se debe diseñar un plan de
gestión o tratamiento de riesgos incluyendo los de Seguridad de la información, en el cual
se defina qué tratamiento se dará a los riesgos de acuerdo con las opciones entregadas en
la guía, qué acciones se implementarán, quienes serán los responsables de ésta
implementación.

Este plan plantea claramente cada acción, etapa y procedimientos que se ejecutarán para
poder ser monitoreado y lograr el seguimiento a la ejecución del mismo.